‘[12345] XXX에서 보낸 인증번호입니다.’
지난 1일 새벽. 유명 오픈마켓 고객에게 휴대폰 본인확인 인증번호가 발송됐다. 잠시 후 통신사에서도 ‘휴대폰 본인인증 발생’이라는 문자가 날아왔다. 새벽에 잠을 자고 있던 고객은 난데없는 본인확인 문자를 받고 개인정보 유출 불안에 떨었다.
업계에 따르면 1일 새벽 NICE평가정보에서 10만건이 넘는 본인확인 문자가 불특정 다수에게 발송됐다. 고객 상당수는 쇼핑을 하지 않고 잠을 자던 밤 1일 밤 11시에서 2일 오전 9시까지 본인확인 메시지를 받고 불안에 떨었다.
NICE평가정보는 이틀이 지나도록 고객에게 관련 내용에 대한 어떤 공지도 하지 않았다. 고객은 개인정보 누출 걱정과 금전적 손해를 볼까 불안에 떨어야 했다.
NICE평가정보는 “공지하지 않은 것은 각 통신사 정보를 활용해 고객에게 고지해야 하는데 이 과정이 ‘법적’ 문제가 없는지 검토해야 하기 때문”이라는 입장을 밝혔다.
NICE평가정보가 어떤 정보도 알리지 않자 개인이 직접 경찰청 사이버안전국에 신고하는 일도 벌어졌다. 【사진1】
휴대폰 본인확인 서비스는 전화 가입자 정보 확인과 SMS인증 문자 확인 2단계로 구성된다. 이 사건은 특정인이 확보한 개인정보로 본인확인번호를 보내고 인증번호를 받아 다시 인증하는 과정을 거친 것으로 보인다. NICE평가정보는 인증번호를 받아 2차 확인하는 과정에 모두 실패했다고 밝혔다.
보안전문가들은 휴대폰 본인인증 서비스를 우회하려는 시도라고 분석했다. 10만건이 넘는 개인정보를 일일이 입력해 본인확인 문자를 발송하는 건 실제로 어렵다. 자동화 프로그램이 본인확인 서비스를 시도한 것으로 보인다. 고객이 쇼핑몰을 이용하지 않는 새벽 시간에 발송된 것도 의도적 접근으로 풀이된다. 이미 ARS 본인인증은 착신전환으로 뚫린 사례가 보고됐고 각종 악성 앱이 급증하는 상황에서 휴대폰 본인확인서비스도 안전지대가 아니라고 입을 모았다.
NICE평가정보 측은 ARS 본인인증 메시지가 발송된 것은 사실이나 해킹이나 시스템 오류는 아니라는 설명이다. 다량의 개인정보를 보유한 사람이 본인인증을 시도한 것으로 보고 있다고 덧붙였다.
양세훈 NICE평가정보 기술팀장은 “해킹시도는 도처에 언제든지 있고 해킹을 막기 위해 휴대폰 인증이라는 보안이 있는 것”이라며 “사고가 아니다”고 말했다. 문경연 NICE평가정보 팀장은 “최대한 고객에게 피해가 가지 않도록 노력을 하고 있다”며 “관할 경찰서 사이버수사대에 의뢰한 상태로 추후 결과를 알 수 있을 것”이라고 설명했다.
김승주 고려대 사이버국방학과 교수는 “시도 건수가 10만건을 넘는 것은 자동화된 프로그램이 이용된 것이며 시도한 시각 역시 의도성이 보인다”면서 “당장 경제적 피해가 없다고 간과해서는 안 되는 상황”이라고 말했다.
김인순기자 insoon@etnews.com, 송혜영기자 hybrid@etnews.com