주무부처인 방송통신위원회는 현행법을 위반했을 소지가 높다고 보고 조사에 착수하기로 했다.
◈ 10년 새 30배 성장 ‘휴대폰 결제 서비스’
최근 인터넷 유료 콘텐츠의 수요가 늘어나면서 소액을 편리하게 결제할 수 있는 '휴대폰 결제 서비스' 시장이 급격히 성장하고 있다.
휴대폰 결제 서비스는 주로 인터넷 쇼핑몰에서 소액을 결제하는데 손쉽게 사용되고 있다.
사용자는 쇼핑몰에서 주민등록번호, 휴대전화번호를 입력하면 통신사와 대행업체를 통해 본인인증을 하고 인증번호를 받아 결제를 하게 된다.
별도의 가입절차나 공인인증서 없이 시간과 장소에 구애받지 않고, 10초 이내에 결제가 가능하기 때문에 널리 사용되고 있다.
지난 2000년 첫 상용화 뒤 거래액 기준으로 842억원이었던 시장은 2011년 2조5,000억원으로 30배가량 폭발적으로 증가했다.
◈ “휴대전화 결제 때 개인정보 줄줄”
하지만 일부 쇼핑몰에서 개인정보가 서비스 업체로 넘어갈 때 전송구간 암호화가 되지 않는다는 조사 결과가 나왔다.
정보화사회실천연합(정실련)은 국내 유명 휴대폰 결제 서비스 업체를 조사한 결과 일부 사이트에서 개인정보가 전송될 때 암호화가 되지 않는 사례를 확인했다고 밝혔다.
정실련은 인터넷 패킷 분석 프로그램인 '와이어샤크'를 이용해 분석한 결과 주민등록번호와 휴대전화번호가 암호화되지 않은 채 전송되는 사실을 발견했다. (사진 참조)
정실련 관계자는 "개인정보를 안전하게 전송할 수 있는 암호화기술 등을 이용한 보안조치를 하도록 규정한 정보통신망법 28조를 위반한 사례"라고 강조했다.
◈ 휴대폰 결제 업체, “쇼핑몰 책임”
이에 대해 문제가 된 휴대폰 결제 서비스 업체 측은 과거 보안이 취약했던 시절 구축된 일부 사이트의 문제라고 해명했다.
한 결제 서비스 업체 관계자는 "쇼핑몰 등 해당 사이트의 보안 설정에 달린 문제"라면서 "보안이 취약한 http로 사이트를 구축한 일부에서 그런 문제가 발생할 수도 있다"고 설명했다.
또 "우리 업체뿐 아니라 다른 곳도 http를 사용하면 (개인 정보가) 새 나갈 가능성이 있다"면서 "https로 변경하도록 권장하지만 우리에게 권한은 없다"고 책임에 대한 선을 그었다.
즉, 인터넷 프로토콜 가운데 모든 데이터가 암호화되는 'https://'를 사용하면 문제가 없지만 보안이 취약한 'http://'를 사용할 때 문제가 될 수 있다는 것이다.
해당 업체 측에서는 아직 http로 돼 있는 쇼핑몰에 https로 구축하도록 권고하고 있지만 강제력이 없어 자신들의 책임이 없다는 주장이다.
실제로 업체의 주장이 맞는지 확인하기 위해 아직 http로 유지되고 있는 사이트의 정확한 규모와 권고 방법을 해당 업체에게 요구했지만 답변을 회피했다.
◈ 방통위 “개인정보 유출 가능성 있어 조사 착수할 것”
이에 대해 주무부처인 방송통신위원회는 휴대폰 결제 서비스를 통해 개인정보가 유출될 가능성이 있다고 보고 조사에 나섰다.
방통위 관계자는 "개인정보가 암호화되지 않고 흐르기 때문에 해킹에 의한 개인정보 유출이 일어날 가능성이 존재한다"고 말했다.
이 관계자는 "현재로서 책임소재가 휴대폰 결제 서비스 업체에게 있는지 쇼핑몰에 있는지 예단할 수는 없다"면서도 "일단 문제가 있다고 판단돼 자세히 조사를 하겠다"고 밝혔다.
최근 네이트 해킹 피해자 집단소송을 승소로 이끈 법무법인 민후 김경환 변호사는 "(소액 결제 서비스의 개인정보 유출 역시) 개인정보보호에 대한 사업자의 의무를 망각한 사례"라고 지적했다.
김 변호사는 "네이트 사건도 직원이 기초적인 보안 수칙을 지키지 않아 결국 해킹 피해가 발생했다"면서 "또 다른 개인정보 유출 피해를 막기 위한 강력한 조치가 필요하다"고 말했다.