"스마트폰 안심클릭 안전하지 않다"

카드사 안전 강조 불구 전문가들 해킹 우려

카드사들이 보안프로그램이 미미한 상태에서 안심클릭과 안전결제를 스마트폰 내에 구현할 것으로 알려져 논란이 일 것으로 보인다.

14일 카드업계에 따르면 카드사들은 이달부터 각 사별로 기존 PC내 결제방식이었던 안심클릭과 안전결제를 스마트폰 내에 구현하는 기술을 도입하거나 혹은 준비중에 있는 것으로 알려졌다.

실제로 삼성카드와 신한카드를 시작으로 이번 달 중 전업계 카드사(현대,롯데 등)들이 안심클릭을 스마트폰 내 구현하는 서비스를 시작할 계획이다.

비록 삼성카드의 '스마트폰 전자결제 서비스'는 E2E암호화를 적용해 보안성을 강화했다고 밝혔지만 기존 노출된 개인정보 만으로 충분히 다시 뚫릴 수 있다고 보안업계 관계자는 전했다.

즉 E2E암호화가 스마트폰 보안의 철강성이 아니라는 방증인 것.

안심클릭을 통해 발생한 부정결제 피해는 지난 10월부터 올해 2월까지 1800여건으로 알려진 피해액만 수억원에 달하는 것으로 집계됐다.

안심클릭 시스템은 카드번호와 비밀번호, 그리고 카드 뒷면의 CVV값을 입력하는 것만으로, 소액결제가 가능하다. 따라서 키로커 등의 해킹방식으로 하나의 비밀번호를 알아내기만 해도 모든 카드회사의 결제 비밀번호가 노출된 것이나 다름 없는 것으로 전해졌다.

또한 신한·삼성·현대·롯데·외환카드를 제외한 나머지 9개 사는 안심클릭이 아닌 안전결제 방식을 택하고 있다.

안전결제(ISP)의 경우도 전체 결제 구간의 암호화 적용이 미흡한 상태다. 안심결제와는 달리 인증서를 사용하는 차이기 있지만, 이 역시 개인 PC 단에서만 암호화를 지원하기 때문에 인증서 핀 값이 노출되는 순간 무력화된다.

실제로 올해 초 ISP가 간단한 정보만으로 발급되고, 30만 원 미만은 카드를 발급한 금융기관의 공인인증서 없이도 자동결제된다는 점을 악용한 피해가 속출했다.

이러한 문제를 금감원은 올해 초 모니터링 감독 강화로 보안을 강화하겠다는 입장만 표명했을 뿐 카드사와 금융당국은 이에 대한 구체적인 보안프로그램 기준을 해결하지 못한 것으로 보인다.

이러한 상황에서 스마트폰 내 안심클릭 및 안전결제 기능은 해킹에 언제나 노출돼 있는 상황인 것이다.

보안업계 관계자는 "안심클릭이든 안전결제든 PC상에서 해킹 당했던 전적이 있는 상태”라며 “이를 그대로 스마트폰 내 구현할 시 문제를 고스란히 스마트폰에 가져오는 격"이라고 말했다.

한편 현대카드는 오는 16일부터 G마켓을 시작으로 다른 온라인 쇼핑몰로 스마트폰 내 서비스를 실시할 예정이다. 롯데카드 또한 이달 중으로 실시할 계획이다.