비교적 안전하다고 알려진 ISP 안전결제가 지난해 해킹 당하는 사건이 발생했습니다. ISP(Internet Secure Payment) 시스템은 일반 웹브라우저를 사용하는 결제 창과 달리 별개의 창을 통해 거래가 이뤄지기 때문에 중간에 결제정보를 빼내기 어려운 보안 시스템으로 알려져 있어 그 충격은 더욱 컸습니다. 당시 경찰발표에 따르면 190여 명의 피해자들은 자신도 모르게 총 830회에 걸쳐 부정결제가 발생했고, 약 1억 8천만 원 가량의 피해를 입은 것으로 집계됐습니다.
직장인 L씨는 작년에 황당한 일을 겪었습니다. 새벽 3시 자신의 카드로 25만 원이 결제됐기 때문인데요, 출근길에서야 결제 알림 메시지를 확인하고 카드사에 신고했지만, 분실한 적도 없는 카드로 결제된 점이 영 찜찜한 것이 아니었습니다. 결국 L씨는 문제가 된 ISP 인증서를 폐기하고 카드를 교체발급 받았음에도 불안한 마음을 지울 수 없었습니다.
작년에 발생한 부정결제사고는 온라인 결제시스템 자체가 해킹된 것이 아니라, 위의 L씨의 사례처럼 개인PC의 해킹을 통해 획득한 신용카드 정보로 부정결제 된 것으로 밝혀졌습니다. 이에 금융당국은 온라인결제 사고 방지를 위해 부정결제가 빈번하게 발생하는 사이트 거래에서 본인인증과 부정방지 모니터링 및 모바일상의 본인인증도 강화하기로 했습니다.
더욱 강력해진 온라인·모바일 결제 인증
1. 게임사이트의 본인 인증이 강력해집니다
현재 안전결제 서비스는 ISP인증서와 비밀번호를, 안심클릭은 카드정보와 비밀번호가 필요한데요, 5월부터 게임사이트에서는 유출된 정보만으로 온라인결제가 불가능하도록 추가인증이 의무화됐습니다. 게임사이트(아이템 거래 포함)에서는 30만 원 미만 결제 시 공인인증서 또는 휴대폰문자인증 선택을 의무화하고, 30만 원 이상 결제 시에는 공인인증서와 휴대폰문자인증을 모두 의무화했습니다.
2. 카드의 부정사용이 줄어듭니다
부정사용방지시스템 모니터링도 확대됩니다. 현재 카드사들은 자체 부정사용방지시스템(FDS, Fraud Detection System)을 통해 온라인 게임 사이트를 모니터링 하고 있습니다. 하지만 6월부터는 온라인 게임사이트는 물론, 환금성이 높아 부정사용의심거래 위험이 많은 파일(동영상 등) 공유 사이트, 포인트 충전 사이트 등까지 실시간 분석 및 탐지의 범위가 넓어집니다. 또한 최근 3개월간 게임 사이트 결제내역이 전혀 없었던 이용자 카드로 새벽시간에 수 차례 거래승인요청이 발생하는 경우와 같은 부정결제행위를 주기적으로 모니터링 합니다.
3. 모바일 결제의 본인 인증이 강력해집니다
현재, 모바일에서 온라인결제용 신용카드를 등록하면 카드정보 이외의 추가인증 절차가 없어 타인에 의한 등록이 가능합니다. 하지만 이번 달부터 카드번호, 비밀번호, CVC번호, 유효번호와 같은 카드정보만으로 모바일 결제서비스 등록이 불가능하도록 모바일에 저장된 공인인증서 또는 휴대전화문자를 통한 추가인증을 의무화했습니다.
4. 금융앱은 금융 앱스토어에서만 구입하세요
올해 초 구글 플레이스토어에서 정상적인 금융앱을 위장한 피싱앱이 발견됐습니다. 이에 지난 4월부터 금융권에서는 안전한 모바일 금융거래를 위한 금융기관 통합 앱스토어를 구축해 피싱앱의 등록과 유통을 원천 차단합니다. 특히 금융앱에 적합한 별도의 검증기준을 가지고 앱의 위·변조 여부를 상시 점검해 모바일 금융거래의 불안감을 해소하고자 합니다. 이는 은행권부터 증권권, 카드업권, 보험업권으로 대상을 확대해 금융거래정보 유출 및 금융거래 시 비정상적인 접근 가능성 등을 점검합니다.
5. 지정된 모바일 단말기로만 결제할 수 있습니다
모바일 단말기는 PC에 비해 보안수준이 취약합니다. 누군가 모바일 단말기를 해킹하면 PC에 비해공인인증서, 보안카드번호 등이 유출될 확률이 높습니다. 게다가 PC는 거래전용 PC를 지정해 그 PC에서만 금융거래가 가능하도록 할 수 있지만, 모바일 단말기는 별도의 지정절차가 없어 어느 단말기에서나 부정이체가 발생할 수 있습니다. 이에 올 4분기부터는 이용자가 미리 등록한 모바일 단말기에서만 인터넷뱅킹, 트레이딩 등의 금융거래가 가능하도록 추진됩니다.
6. 공인인증서 발급이 까다로워집니다
현재의 공인인증서는 불법 획득한 금융정보만으로도 재발급이 가능하고 편의상 PC에 저장할 경우 해킹으로 인한 유출 가능성이 높습니다. 이에 올 9월부터 금융기관에 한해 공인인증서 재발급 시 지정된 PC를 이용하거나, 미지정 PC에서는 추가인증을 의무화 합니다. 이를 위해 휴대전화문자(SMS) 인증, 인터넷뱅킹을 이용중인 PC채널 외에 유선전화 등 다른 채널을 통한 2채널 인증방법, 영업점 방문을 통한 1회용 비밀번호를 발급받아 인증하는 방법 등이 고려되고 있습니다. 또한 현행 IC카드형, USB형 보안토큰 이외에 공인인증서 무단 유출을 방지할 수 있는 휴대전화 유심(USIM) 형태의 안전한 저장매체를 보급할 예정입니다.
7. 금융보안 전문가가 양성됩니다
현재 온라인결제 체계의 보안취약점 분석과 대응방안 마련을 위한 금융보안전문가와 교육 프로그램이 미흡하다는 지적은 꾸준히 제기되고 있습니다. 이에 금융보안분야의 고용계약형 석사과정(고려대)을 지속 운영하고, 금융권 임직원의 정보보안 역량 제고를 위한 교육도 강화해 연중 지속적으로 진행합니다.
온라인결제 보안강화 방안은 온라인 보안사고가 사회 문제로 대두되고 있는 상황에서 나온 대책으로, 온라인 및 모바일 결제 시 본인 인증을 강화하고 부정사용에 따른 모니터링을 확대한다는 것이 그 주요 내용입니다. 보안예방을 위해서는 대책도 중요하지만 기업과 사용자 스스로 보안에 대한 관심을 갖고 온라인상 아이디 및 비밀번호 관리와 보호에 대한 각별한 주의가 무엇보다 필요합니다.