차세대 결제수단 신용카드 앱카드의 도용 사고는 안드로이드폰과 아이폰 각각의 취약점을 모두 활용한 사기범들의 지능적인 범죄 행각이었음이 드러나고 있다.
안드로이드폰은 스미싱(문자메시지와 피싱의 합성어)에, 아이폰은 개인 인증에 취약하다는 점을 파악하고 사기범들이 이를 하나의 범죄 모델로 설계한 것이다.
카드사는 지난해 앱카드 표준모델을 개발하면서 나름대로 이중 삼중의 철저한 보안 시스템을 갖췄다고 주장했지만 결국 날고 뛰는 사기범들의 범죄 행각에 놀아나고 말았다.
이에 따라 카드업계가 신종 결제수단을 도입을 서두르기보다는 안드로이드폰과 아이폰을 아우르는 철저한 보안 시스템 구축을 먼저 완료해야 한다는 지적이 커지고 있다.
12일 금융감독원과 금융보안업계에 따르면 총 6,000만원의 피해가 발생한 삼성카드 앱카드 도용 사건은 기본적으로 안드로이드폰의 고객인증 정보가 스미싱을 통해 탈취된 것에서 시작된 것으로 파악된다.
금융보안연구원의 한 관계자는 "아이폰의 경우 애플 앱스토어에서만 소프트웨어가 설치될 수 있도록 돼 있기 때문에 다른 인가되지 않은 소프트웨어(악성코드)는 설치될 수 없다"며 "사실상 현재 일어나는 스미싱 피해는 거의 100% 안드로이드폰에서 발생하는 것이라고 보면 된다"고 말했다.
실제 이번 사고로 피해를 입은 삼성카드 고객 50여명은 모두 안드로이드폰 사용 고객이었던 것으로 파악되고 있다.
금감원 IT감독실의 한 관계자는 "탈옥한 아이폰이 아닌 이상 아이폰에서 스미싱이 일어나 삼성카드의 개인정보가 누출됐을 가능성은 없는 것으로 보고 있다"고 말했다.
하지만 사기범들이 안드로이드에서 빼낸 고객정보를 가지고 이른바 복제폰을 만들어낸 것은 바로 아이폰이다.
이는 아이폰에서 공인인증서 방식으로 앱카드를 등록할 때는 앱카드 가입자 본인의 스마트폰이 아니더라도 가능하다는 점을 악용한 것이다.
앱 카드를 사용하려면 스마트폰에 해당 앱을 다운로드 받은 후 발급 받은 카드를 앱에 등록해야 한다.
방법은 카드번호 입력 방식과 공인인증서 방식 두 가지가 있다. 안드로이드폰의 경우 공인인증서 방식으로 앱카드를 등록할 때 스마트폰에 저장된 유심칩과 공인인증을 통해 이중보안이 되지만 아이폰은 공인인증만으로도 앱카드 등록이 가능하다.
아이폰은 보안을 위해 유심칩에서 해당 기기 번호가 확인되지 않도록 만들었는데 오히려 이 같은 보안체계가 범죄의 대상이 된 것이다. 금융보안연구원 관계자는 "실제 결제 때 사용된 비밀번호의 경우 해킹이 됐거나 다른 방식으로 알아냈을 것으로 추정된다"고 말했다.
결국 이번 사고는 안드로이드와 아이폰 운영체계의 허점을 모두 파악하고 있는 사기범들이 이를 매개로 지능적으로 앱카드의 도용 범죄를 설계한 것으로 볼 수 있다. 사기범들의 범죄수법이 카드사들과 금융당국보다도 한 발짝 앞서 있는 것이다. 금감원은 이에 따라 아이폰에서 공인인증을 통한 앱카드 등록을 잠정 중단시킨 상태다.