롯데 간편결제 애플리케이션(앱)에 탑재된 신용카드가 오프라인 매장에서 300만원 이상 결제되는 도용 사고가 발생, 경찰이 수사에 나섰다.
피해자는 롯데 모바일결제 앱이 해킹 당했다는 주장을 커뮤니티 글에 올려 파장이 확산되고 있다. 반면에 롯데 멤버스는 해킹은 현실적으로 불가능하다는 입장이어서 수사 결과에 관심이 쏠린다. 불법 결제가 된 해당 카드사도 즉각 출금 보류 조치를 취했지만 해킹 가능성을 둘러싼 이슈에 노심초사하고 있는 것으로 알려졌다.
7일 피해자 A씨는 롯데 모바일결제 내에 탑재된 신용카드로 타인이 하이마트와 롯데백화점에서 약 300만원을 결제, 피해를 봤다고 주장했다. A씨는 경북 포항에 거주하고 있지만 경기도 부천 소재 2개 매장에서 27일 도용 결제가 이뤄졌으며, 용의자가 롯데 모바일결제 시스템을 악용해 노트북 등을 일시불로 구매했다고 주장했다.
신용카드 위·변조 사고가 아닌 간편결제 앱이 오프라인 결제 매장에서 도용된 드문 사례다.
A씨 주장이 사실로 밝혀지면 간편결제 시스템 보안 취약 문제로 이슈가 확대될 가능성이 짙다.
도용된 카드사 확인 결과 실제 결제 피해가 접수됐고, 즉각 출금 보류 조치를 취한 것으로 확인됐다.
카드사 관계자는 “롯데 모바일결제 내 자사 카드의 도용 신고가 접수된 게 맞다”면서 “카드사는 롯데 모바일결제와 제휴해 결제 수단만 제공할 뿐 카드 자체가 해킹 된 건 아니다”고 강조했다.
롯데 모바일결제는 모바일 안에 카드를 등록해 탑재하는 일종의 지갑(월렛) 기능을 제공한다. 만약 모바일과 온라인상에서 해킹이 됐다면 문제는 커진다.
A씨는 “본인 외에도 비슷한 사안이 접수돼 수사가 시작됐다”면서 “해당 경찰서에서 신고 전날 하이마트를 방문해 용의자 얼굴이 기록된 폐쇄회로(CC)TV 기록 자료를 확보했다는 연락을 받았다”고 상황을 전했다.
공식 수사 결과가 나오지는 않았지만 해킹 의심 피해 글이 커뮤니티에 올라오면서 롯데 모바일결제 카드 등록을 해지하는 사례가 증가하는 등 우려가 커지고 있다.
이와 관련해 롯데멤버스는 수사 결과가 나올 때까지 어떤 추정도 할 수 없다면서 해킹은 시스템적으로 불가능하다고 못 박았다.
롯데멤버스 관계자는 “피해 사례 접수 후 공인 인증기관을 통해 롯데 모바일결제 해킹이 가능한지 조사했지만 물리적으로 불가능했다”면서 “정보, 로그인 기록 등을 모두 조사했지만 결제 프로세스에서 해킹된 정황은 나오지 않았다”고 설명했다.
이 관계자는 “아이디나 비밀번호 등이 외부로 유출되더라도 롯데 모바일결제의 모든 구간은 암호화가 적용돼 도용 자체가 불가능하다”면서 “지금으로서는 수사 결과를 기다리는 수밖에 없다”고 덧붙였다.
도용 피해를 본 카드사도 피해자의 피싱, 스미싱 가능성을 제기했다.
피해자가 카드 도용 발생 이전에 개인 정보 등을 유출했을 가능성이다.
반면에 보안업계 등 일각에서는 롯데 모바일결제 계정 해킹이나 웹표준 페이지 위·변조가 이뤄졌을 가능성도 배제하면 안 된다고 말했다.
한 보안업계 관계자는 “정보기술(IT) 지식이 있는 사람이라면 (상대적으로 보안이 취약한) 웹페이지를 다운로드해서 결제에 필요한 정보를 습득할 수 있다”면서 “웹페이지 난독화가 완벽하게 이뤄졌는지 확인해야 한다”고 지적했다. 이 관계자는 “(고객의 잘못으로) 피싱, 스미싱을 통해 도용됐을 가능성도 있는 상황”이라고 부언했다.
수사 결과에 따라 책임 공방 소재를 놓고 카드사와 간편결제 사업자 간 책임 공방 가능성도 제기됐다. 카드사는 제휴에 따른 결제 수단만 제공한 것뿐이어서 피해 배상은 롯데멤버스나 소비자가 져야 한다는 입장이다. 카드 위·변조나 도용 사고 발생 시 책임 입증을 소비자가 져야 하는 현행 법규도 개선해야 한다는 목소리도 높다.
길재식 금융산업 전문기자 osolgil@etnews.com, 윤건일 전자/부품 전문기자 benyun@etnews.com, 윤희석 유통 전문기자 pioneer@etnews.com