카드사ㆍ결제대행업체 거래내역 확인기능 폐지해야

안심결재가 더 쉽게 뚫려....

해킹을 통해 신용카드 번호를 입수한 후 신용카드결제 방식의 취약점을 이용해 수억원을 인출한 해킹조직이 적발됐다.

경찰청 사이버테러대응센터는 해킹 등으로 타인의 카드번호를 입수한 후, 인터넷에서 이루어지는 신용카드결제 방식의 취약점을 이용해 수억 원을 인출한 공범 추모(23)씨 구속하고 다른 1명은 불구속 하는 한편, 중국 거주 중인 주범 이모(20대)씨에 대해서는 인터폴을 통해 중국에 공조수사를 요청했다고 13일 밝혔다.

경찰 조사결과, 범인들은 피의자들은 지난 5월말 중국과 국내에서 구글 검색 엔진으로 검색하거나 직접 해킹을 하여 알아낸 회원 접속정보 등 7천400건과 A가맹점의 신용카드 거래내역정보 7만여 건을 입수하고 피해자의 접속정보(ID와 비밀번호)를 도용해 유명 쇼핑몰ㆍ카드사ㆍ결제대행회사 홈페이지에 차례로 접속하여 신용정보를 열람하고, 신용카드 번호 16자리를 조합ㆍ완성한 다음, 신용카드 결제 체제의 취약점을 이용해 131회에 걸쳐 합계 700만원 상당의 타인의 아이템을 대신 구매해 주고 현금화가 가능한 사이버머니를 충전 받아 인출한 것으로 드러났다.

현재 경찰에서 파악된 피해 규모는 총 53명의 신용정보 55건이 도용되어 도합 1억 8천만원이나 아직 경찰에 신고되지 않은 피해까지 고려한다면 그 액수는 더욱 늘어날 것으로 예상된다.

경찰은 이전에도 신용정보가 도용되어 인터넷 결제방식으로 피해가 발생한 사실은 있었지만, 이번처럼 카드사ㆍPG사ㆍ쇼핑몰을 통해 부분적인 카드정보를 조합하여 카드번호를 완성한 후, 보안보다 편리성을 추구한 허술한 카드결제방식으로 국부가 해외로 유출된 경우는 처음이라면서, 미검 피의자가 해킹을 통해 상당한 규모의 거래내역 등 개인정보를 보유하고 있는 것이 확인되어 유사범죄에 대해서도 수사를 확대할 계획이다.

경찰 관계자는 “사용자들은 카드결제 시 사용하는 비밀번호와 일반 인터넷 사이트의 비밀번호를 서로 다르게 설정하고, 비밀번호 추정이 불가능하게 해야 한다”며 “카드 사용이나 인증서 폐기 또는 재발급시 본인이 실시간으로 확인할 수 있는 SMS 신청 등을 해야 한다”고 강조했다.

또한 그는 “카드사 홈페이지 접속 시나 카드결재 시 인터넷 뱅킹처럼 공인인증서 방식 채택 필요하고 거래내역 조회는 카드사에서 일괄적으로 제공해야 한다”며 “카드사 홈페이지를 통해서만 상세 거래내역(PG사 및 쇼핑몰사이트)확인 기능을 제공하고 PG사의 거래내역 확인기능 폐지해야 한다”고 덧붙였다.

한편, 경찰은 재정경제부ㆍ정보통신부ㆍ금융감독원ㆍ정보보호진흥원 등 관련 부처와 회의를 통해 수사과정에서 확인된 범죄 수법과 카드결제의 취약점을 설명하고 추가 피해 확산 방지를 당부했다.

관련기사 : 허점투성이 안심결제, 범죄에 그대로 노출

[박은수 기자(eunsoo@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>