폭증하는 일회성 이메일 불법접근…신정원 '골머리'

English Translation
폭증하는 일회성 이메일 불법접근…신정원 '골머리'

신용정보원이 신용·보험조회서비스 통합회원제 인증에 이메일 계정 화이트리스트 도입을 고려한다. 최근 일부 마이너 핀테크 및 인슈어테크 업체가 일회성 이메일로 불법 가입시도를 하는 행위가 기승을 부리기 때문이다.

25일 관련 업계에 따르면 신용정보원 신용·보험조회서비스 통합회원제에 일회성 이메일을 이용한 불법 가입 시도가 점차 늘고 있다.

신정원 관계자는 “통상 하루에 가입하는 이용자가 평균 4000명 수준인데, 이 중 10%인 400여명이 이 같은 일회성 이메일을 사용해 가입을 시도하고 있다”고 설명했다.

앞서 신정원은 비회원제로 자유롭게 오픈했던 신용·보험조회서비스를 올해부터 통합회원제로 전환했다. 금융사와 핀테크·인슈어테크 업체가 무분별하게 개인정보를 스크래핑해 소비자 보호를 강화해야 한다는 판단에서다. 이에 따라 신정원이 서비스하는 '크레딧포유' 등을 이용하기 위해선 이메일 인증 등을 걸친 회원가입과 연 1회 문자인증을 진행해야 한다.

하지만 인증 방식이 번거로워지자 일부 업체들이 일회성 이메일로 소비자가 인지하지 못한 채 가입을 대행하고 있다. 기존과 마찬가지로 소비자에게 인증문자만을 요구하고, 이메일 인증을 임의로 이메일을 생성해 가입하는 것이다. 문제는 기술적으로 차단이 쉽지 않다는 점이다. 생성되는 계정이 규정상 문제가 없으면 차단할 수 없기 때문이다.

보안업계 관계자는 “일회성 이메일로 생성되는 계정이 SMTP나 메일 프로토콜 규정을 다 지키고 있다면 원칙적으로 차단할 수 있는 방법이 없다”고 설명했다.

이 때문에 신정원에서는 마땅한 대책을 마련하지 못해 향후 소비자 불편으로 이어질 수 있다는 예상이다. 신정원 관계자는 “현재 이런 일회성 이메일 접근이 포착되면 수기로 차단을 하고 사용하지 못하게 조치하고 있다”며 “하지만 이렇게 차단하면 향후 1년여간 신정원 이용을 할 수 없어 나중에 정작 신용·보험조회서비스를 사용하지 못할 수 있다”고 말했다.

신정원은 이 같은 문제가 악화하면 통합회원제 인증이 이메일 계정 화이트리스트 도입도 고려하고 있다. 화이트리스트는 식별된 일부 실체들이 특정 권한, 서비스, 이동, 접근, 인식에 대해 명시적으로 허가하는 목록을 말한다. 신정원은 이런 화이트리스트를 이메일 인증에 도입해 특정 송신자 IP 주소, 이메일 주소 또는 도메인만을 가입하는 방안을 내부 검토하고 있다.

이 관계자는 “일회성 이메일 사용은 향후 신정원 서비스 이용에 제약을 불러오는 등 소비자 불편을 초래할 가능성이 매우 크다”며 “이런 문제가 지속 악화한다면 사전에 차단하기 위한 화이트리스트 도입도 검토하고 있다”고 설명했다.

박윤호기자 yuno@etnews.com