핀테크(Fintech) 대항마로 카드사가 앞다퉈 모바일 앱카드 사업 강화에 나선 가운데 앱카드 바코드 인증방식이 해커에 의해 악용될 수 있다는 주장이 제기됐다.
결제 인증 수단으로 사용되는 바코드를 해커가 화면캡쳐 해킹 애플리케이션(앱) 등을 통해 손쉽게 탈취가 가능하고 탈취된 바코드를 실제 오프라인 가맹점에서 결제 하면 그대로 결제가 이뤄진다는 것이다.
1일 보안업계의 자문을 받아 전자신문이 화면캡쳐 앱을 구동해 일부 카드사의 앱카드 구동 시 화면에 뜨는 바코드를 캡쳐해 결제를 진행한 결과, 실제 결제가 이뤄졌다.
이는 바코드 인증방식(OTC)이 카드정보 전문을 그대로 이용하는 방식이기 때문이다.
한 보안업계 관계자는 “바코드를 화면으로 캡쳐해 사용해도 오프라인 가맹점에서 그대로 결제가 된다는 것은 기프티콘처럼 부정사용 가능성이 높다는 것을 의미한다”며 “물론 사전에 해커가 바코드 탈취를 시도할 가능성은 적지만 큰 금액으로 바코드 결제가 일어날 경우 문제가 커질 수 있다”고 밝혔다.
현재 모든 앱카드는 바코드 인증으로 결제가 가능하다. 문제는 자기 주도형 결제가 아니라 바코드를 생성해 가맹점에 보여주는 방식이라 사전 탈취뿐만 아니라 인증 되지 않는다고 속여 가로챌 여지가 많다고 보안업계는 주의를 당부했다.
지난해 5월 문자메시지에 악성코드를 심어 정보를 빼내는 ‘스미싱’ 수법으로 탈취한 타인의 공인인증서를 이용, 앱카드를 내려받아 결제한 사건이 발생한 바 있다.
비록 앱카드 자체 보안성은 문제가 없다는 결론이지만 결제 과정에서 발생할 수 있는 위변조와 해킹 가능성은 여전하다는 게 중론이다. 특히 바코드 인증 방식에 대해서는 별도 개선 조치가 필요하다는 주장이 제기됐다. 이미 홈플러스나 하나로마트 등 바코드 결제가 빈번이 발생하고 있는 대형 가맹점에 앱카드 인프라가 깔려 있어 자칫 대형 금융 사고로 번질 수 있다는 지적이다.
바코드 결제를 기프티콘처럼 소액 결제에만 활용하자는 의견도 나왔다.
한 보안업계 관계자는 “바코드 결제를 소액 단위 결제에만 사용할 수 있게 하면 비교적 큰 금액을 노리는 해커의 공격을 우회적으로 피하게 되는 셈”이라고 설명했다.
한편 신한카드 등이 앱카드 결제 확대에 나서면서 최근 중국 IP를 통한 위변조 시도도 잇따르고 있는 것으로 전해졌다.
업계 관계자는 “앱카드 해킹 시도가 최근 중국 등에서 지속적으로 발생하고 있다”며 “데이터 암호화나 인증 강화 등을 통해 이 같은 시도를 원천차단하고 있다”고 설명했다.
길재식기자 osolgil@etnews.com
