인터넷 신용카드 결제 취약점을 악용해 수억원을 인출한 해킹 사건이 발생해 카드 사용자의 주의가 요구된다.
또 현행 인터넷 신용카드 결제시스템이 구조적으로 해킹에 취약해 안전한 전자거래를 위한 정보보호방안 마련이 시급하다.
경찰청 사이버테러대응센터는 13일 해킹으로 타인의 카드번호를 입수한 후 인터넷 신용카드결제 방식의 제도·기술적 취약점을 이용해 물품을 대신 결제하고 현금을 돌려받아 수억원을 인출한 해킹 조직을 적발했다고 밝혔다.
범인들은 대부분 카드 사용자가 일반 홈페이지와 쇼핑몰, 카드사의 접속 ID와 비밀번호가 동일한 것에 착안해 구글 등 검색엔진과 해킹도구를 이용해 인터넷 사용자의 접속정보 8만건을 수집했다. 이들은 이 정보를 이용해 쇼핑몰·카드사·결제대행회사(PG) 홈페이지에 접속해 부분적으로 남겨진 카드 정보를 조합, 카드번호를 완성했다. 범인들은 신용카드결제 체계의 취약점을 이용해 I사이트에서 타인의 아이템을 대신 구매해주고 현금화가 가능한 사이버머니를 충전받아 1억8000만원을 인출했다.
현재까지 경찰은 총 53명의 신용정보 55건이 도용돼 1억8000만원 규모의 피해를 입었으나 신고되지 않은 피해액을 고려하면 그 액수가 더욱 늘어날 것으로 예상했다.
이번 사건은 인터넷 카드결제의 문제점을 그대로 드러냈다. 현재 인터넷 신용카드결제 시 필요한 카드번호는 카드사·PG·쇼핑몰에서 노출되는 카드번호를 조합하면 전체 번호를 완성할 수 있다. 또 신용정보를 보관하는 카드사가 일반 사이트와 동일하게 ID·비밀번호 방식의 인증을 제공해 도용에 의한 신용정보 유출 가능성이 크다. 쇼핑몰도 고객 구매정보 등 최소한의 정보를 보관해야 하나 신용카드 번호까지 저장돼 악용될 가능성이 높다는 지적이다.
경찰과 보안전문가들은 재발 방지를 위해 카드사 홈페이지 접속과 카드결제 시 인터넷뱅킹처럼 공인인증서 방식을 채택해 보안을 강화해야 한다고 강조했다. 또 쇼핑몰은 구매정보 외에 카드번호 등 신용정보가 남지 않도록 결제 프로그램을 수정해야 한다.
일반 사용자는 카드결제 시 사용하는 비밀번호와 일반 사이트 비밀번호를 다르게 설정하고 카드사용 명세 SMS 서비스를 받으면 피해를 최소화할 수 있다.
김인순기자@전자신문, insoon@