금융당국은 전업 카드사들의 온라인 결제 시스템의 보안을 강화하기 위한 TF(태스크포스)팀을 꾸리는 등 뒤늦게 대책마련에 나섰다.
25일 금융권에 따르면 신한, 삼성, 현대, 롯데 등 국내 4개 전업 카드사들의 온라인 결제시스템인 '안심클릭'은 공인인증서 필요없이 결제가 가능하다.
고객은 미리 설정한 안심클릭 비밀번호와 CVC번호(카드인증코드. 카드 뒷면 숫자 중 마지막 3자리 숫자)를 입력만하면 30만원 미만일 경우 공인인증서 없이도 물건 구매 등이 가능하다.
금융당국은 당초 2006년 7월 안심클릭의 보안을 강화하는 조치를 취하면서 CVC번호 입력을 추가했다. CVC번호는 카드 실물에 새겨진 것이어서, 외부로 유출이 쉽지 않다는 장점이 있다.
하지만 이런 대응책에도 안심클릭에서 최근 수개월 동안 수억원의 피해가 발생한 것은 고도화한 해킹수법을 막기에는 역부족이기 때문이다.
안심클릭과 달리 은행 카드사들의 결제시스템인 '안전결제'을 이용한 고객에게는 이런 피해가 없었다는 점은 인심결제가 상대적으로 보안에 취약하다는 점을 방증한다.
금융당국은 애초 안심클릭에 공인인증서를 적용하는 방안을 검토했지만, 전자상거래 활성화와 고객 편의라는 카드사들의 입장을 반영해 없던 일로 했다. 결제 과정이 간편할수록 사용자가 많아지고 결제액도 많아져 카드사 수익도 늘어난다.
금융당국 관계자는 “2006년에 안심클릭에 공인인증서 인증 과정을 포함하느냐를 놓고 논란이 뜨거웠지만 결국 여러 가지 이유로 제외시켰다”고 말했다.
반면, 안전결제는 파일형태의 인증서가 생성돼 공인인증서 역할을 해 최근의 피해에서 벗어날 수 있었다.
전업 카드사들은 고객 편의 등을 이유로 내세웠지만 결국 카드사 이익을 위해 보안을 소홀히 했다는 지적이 피하기 어렵게 됐다.
공인인증서 절차를 추가했었다면 최근의 수억원에 달하는 피해는 막을 수 있었다. 한 보안 전문가는 “전자 상거래에서 가장 중요한 것은 보안문제”라며 “보안이 불안하면 고객의 피해는 물론 결국 시장도 위축될 수밖에 없다”고 말했다.
금융당국은 결제 시스템에 대한 직접 해킹보다는 피싱(가짜 홈페이지를 만들어 고객 정보를 빼내는 수법) 등으로 고객 정보가 유출된 것으로 보고 있다.
금융당국은 그러나 안심클릭에 대한 보안을 강화하기 위해 카드협회 등과 함께 TF팀을 만들고 대책 마련에 나섰다. 금융당국 관계자는 “안심클릭에만 유독 피해가 집중됐기 때문에 보안 강화 방안을 찾고 있다”면서 “공인인증서 인증 절차를 추가하는 방법도 검토하고 있다”고 말했다.