[안전결제 해킹 책임 공방]

범인, 공인인증서 필요없는 30만원미만 결제 반복 사용

400명 외에 피해자·액수 대규모로 늘어날 가능성 30만원 미만 소액 결제에 사용되는 '안전결제(ISP·Internet Secure Payment) 시스템'은 현재 BC·KB국민카드에서 사용하며, 온라인에서 가장 안전한 결제 방식으로 꼽혔다. 그러나 이 '안전결제'마저 해킹에 뚫렸을 가능성이 제기됐다.

이번 해킹 사건에서 범인은 주로 밤시간대에 결제했다. 30만원 이상 온라인 결제는 공인인증서를 사용해야 하는 점을 고려해, 30만원 미만 금액을 여러 번 결제해 게임사이트 '넥슨'의 게임 아이템을 샀다<사진>. 과거 ISP 해킹은 일단 개인의 신용카드 정보를 빼낸 뒤 'ISP 인증서'를 재발급받아 이뤄졌다. 그러나 이번엔 범인이 다수의 ISP 정보를 통째로 해킹했으므로, ISP 인증서를 재발급 받을 필요가 없었다. 피해자들은 해킹 사실을 전혀 몰랐다가 결제 내역만 통보받았다. 이 탓에, 경찰은 "ISP 시스템 자체가 해킹됐을 가능성이 크다"고 본다.

국내 온라인 카드결제 시스템은 크게 '안심클릭'과 '안전결제'로 나뉜다. 안심클릭은 결제 때마다 카드 번호와 CVC(Card Validation Code· 카드 고유의 확인코드) 번호, 안심클릭 비밀번호 등을 입력하는 방식이다. 사용자가 누른 키보드를 읽어내는 악성코드만 있으면 간단하게 해킹할 수 있다. 안심클릭 해킹은 최근 수년간 빈번하게 발생했다. 2010년 1월엔 신한·현대·삼성·롯데카드 등 4개 카드사의 안심클릭 정보가 대규모로 해킹돼 2200여건의 비정상적인 결제가 이뤄지고, 1억8000여만원의 피해가 발생했다.

안심클릭 방식을 보완한 게 ISP 방식이다. 이 방식을 이용하려면 최초 사용 시 ▲카드번호 ▲CVC 번호 ▲카드 비밀번호 ▲카드 유효기간을 입력하고 별도의 비밀번호까지 만들어야 한다. 이렇게 발급받은 'ISP 인증서'를 개인 PC나 휴대전화, USB 등에 다운로드하고, 카드 결제를 할 때에는 별도의 비밀번호만 입력한다. 따라서 악성코드가 해킹할 수 있는 정보는 '이론상' 신용카드 정보는 없는 '비밀번호'에 불과하다. 지난 9월 금융 당국이 카드 해킹 사고와 관련, 전체 카드사를 모두 조사했을 때에도 ISP 시스템을 사용하는 카드사에선 피해가 없었다.

금융감독원의 한 관계자는 "경찰 판단처럼 ISP 시스템 자체가 해킹된 것이라면 범인들이 불특정 ISP 이용자 다수의 정보를 빼내 피해가 400명 이상으로 확산될 수 있다"고 우려했다. 두 카드사에선 매달 ISP로만 1500만건, 약 6000억원이 결제된다. 그러나 카드사 측은 "ISP 시스템 자체가 아니라, 고객의 개별 PC에서 정보가 빠져나갔을 것"이라고 주장한다.

또 BC카드와 국민카드의 암호화된 ISP 정보를 관리하는 비피(VP)는 "두 카드사의 고객 정보가 담겨 있는 회사 서버에 외부 세력이 침입하거나 해킹한 흔적이 없는 것으로 확인됐다"고 해명했다.

이와 관련해 임종인 고려대 정보보호대학원장은 "근본적으로 이번 사건은 현행 온라인 결제 시스템 자체에 '이상'이 있다는 경고"라고 말했다. 서울경찰청의 수사 관계자는 "카드사 측에선 온라인·모바일 결제방식이 '안전하다'고 광고하지만, 소액 결제 시에도 매번 공인인증서나 휴대전화 인증을 거치도록 안전성을 보완해야 한다"고 말했다.

조선일보