위험한 모바일 앱카드, 또 무너진 카드업계 ‘보안 빗장’

삼성 모바일 앱카드 명의 도용 피해가 발생하자 금융당국이 원인 파악과 보안체계 긴급 점검에 나섰다.

12일 금감원 IT감독실은 카드사 모바일 담당자를 소집해 삼성카드의 명의도용 원인과 향후 유사한 피해사례가 발생할 가능성에 대해 점검했다. 앞서 금감원은 신한카드, KB국민카드, 롯데카드, 현대카드, NH농협카드에 대해서도 긴급 간이 점검을 실시했다.

그 결과, 삼성카드를 제외한 나머지 5개 카드사의 앱 모바일카드 명의도용은 없는 것으로 파악됐다. 정인화 금감원 IT감독실장은 “앱카드를 설치·등록하는 과정에서 인증방식에 다소 문제가 있었다”며 “나머지 카드사는 삼성카드와 다른 인증방식을 사용한 것으로 확인돼 명의도용은 없는 것으로 일단 결론 내렸다”고 밝혔다.

이번 사건은 아이폰의 인증방식 때문에 발생한 것으로 나타났다. 아이폰은 개인정보보호를 위해 유심칩에서 기기번호(전화번호)를 불러오는 기능이 없다. 사기범들이 이 기능을 악용한 것이다.

정 실장은 “아이폰은 전화번호 변조가 가능해 이를 기술적으로 차단 조치할 것”이라며 “앞으로 모바일결제에서 휴대폰 명의와 카드번호가 일치하게 보안을 강화할 계획”이라고 밝혔다. 금감원은 인증방식의 보안 취약점 보강뿐 아니라 앱카드 프로그램 자체를 해킹할 가능성을 염두에 두고 대안을 마련할 계획이다.


◎…뉴스해설: 모바일 앱카드, 간편결제 시스템 취약점 고스란히 노출

모바일 앱카드는 엄밀히 말하면 모바일카드로 분류되지 않는다. 모바일 결제, 즉 간편결제 시스템 중 일부다. 기존 모바일카드와 결제방식 자체가 다르기 때문에 이번 삼성 모바일 앱카드의 명의 도용 사고는 국내 모든 간편 결제 시스템이 뚫린 것을 의미한다.

앱카드는 신규카드 발급이 아닌 기존 발급카드를 연계하기 위한 등록정보가 활용된다. 이번 피해는 금융정보 자체가 아닌 이를 조회하기 위한 본인인증과 권한관리 측면에서 누수가 발생한 사고다.

기존 모바일카드는 유심이나 금융마이크로SD에 금융카드를 발급하기 때문에 플라스틱카드와 같은 독립적인 금융상품이다. 때문에 모바일카드로 결제할 때에는 발급된 결제수단 그 자체로 결제를 한다. 반면에 모바일앱카드는 간접적인 등록정보를 활용해 결제하기 때문에 근본적으로 차이가 있다.

금융 보안 전문가들은 이번 사고는 고객 수를 늘리는데 앱카드를 활용하다보니 정작 보안 취약성에 대해서는 간과했다고 보고 있다.

실제 6개 카드사의 모바일 앱카드 발급 수는 단기간에 폭발적으로 늘었다. 금융권에 따르면 4월말 기준(누적) 발급 수는 신한카드 229만장, KB국민카드 216만장, 현대카드 62만장, 롯데카드 61만장, 삼성카드 53만장, NH농협카드 2만8000장(오프라인) 등이다. 이미 500만장이 훌쩍 넘었다.

금융상품이 안전하게 결제되기 위해서는 본질적으로 보안매체에 발급돼야 한다. 보안매체에는 IC카드나 유심, 금융마이크로SD 등이 있는데 이들 내부 운영체제는 PC 또는 휴대폰 운영체제(OS·안드로이드 등)와 다르다. 스미싱 등이 발생해도 OS가 다른 보안매체에 악성코드가 심어져서 금융정보를 변조시키거나 탈취하는 일이 매우 어려워지는 것이다.

반면에 앱카드와 같은 간편한 모바일결제는 근본적으로 보안취약성을 내재하고 있다. 삼성 앱카드 사고로 보안을 강화한다고해도 패치 처방 등 보조수단 외에는 대책이 전무한 상황이다. 일각에서는 사용상 불편함은 있지만 유심칩 기반 모바일카드 등 전통적 방식만이 보안 취약점을 해결할 수 있다고 주장하고 있다.

<모바일 앱카드 발급현황(단위: 장) / 4월말 기준, 각 사 취합>


모바일 앱카드 발급현황(단위: 장) / 4월말 기준, 각 사 취합


길재식기자 osolgil@etnews.com
길재식기자 osolgil@etnews.com