[집중점검] 안심클릭·안전결제 강화되나?

최근 안심클릭 및 안전결제 등 카드사가 전자상거래 시 제공하는 본인확인 절차의 허점을 이용한 대규모 신용카드 도용사건이 발생된 이후 카드업계 및 인터넷쇼핑몰 업계가 대응방안 마련에 나섰다.

그러나 신용카드번호 등 결제 정보유출에 대한 우려를 완전히 불식시키기에는 다소 시일이 걸릴 것으로 예상되고 있다.

23일 금융권 및 관련업계에 따르면 안심클릭 서비스를 제공하고 있는 비자코리아의 9개 회원사들은 최근 발생된 신용카드 도용사건으로 인해 대책 마련을 위해 협의를 추진 중에 있는 것으로 나타났다. 이와 함께 ISP안전결제 서비스를 제공하고 있는 BC카드와 국민카드는 신용카드 결제 정보 유출을 막기 위한 ISP안전결제 서비스 방식을 최근 보완, 강화했다.
이밖에 대형 인터넷 쇼핑몰 업체들은 신용카드 결제 시 노출되는 카드번호를 동일한 방식으로 통일하는 방안을 협의, 완료한 것으로 전해지고 있다.



◇ CVC번호 추가입력 등 강화조치 = 이번 카드 도용사태의 가장 큰 피해를 발생시킨 안심클릭 서비스 제공자인 비자코리아와 9개 회원사는 대책마련을 위한 협의를 진행 중이다.

9개 회원사는 협의를 통해 전자상거래시 공인인증서 첨부를 의무화하는 거래 금액을 현재의 30만원에서 더 낮은 금액으로 낮추는 방안을 추진하고 있다. 또 회원사별로 기존의 안심클릭 확인절차에 신용카드 CVC번호(카드 뒷면 서명란에 있는 번호)를 입력하게 하는 방안도 논의 중에 있다.

안심클릭 한 관계자는 “회원사 협의를 통해 이른 시일 내 본인인증 절차에 대한 보안강화를 추진할 계획”이라고 말했다.
BC카드와 국민카드가 제공하는 ISP안전결제 서비스도 지난 21일부터 보다 강화된 본인인증 절차를 시행했다. 이에 따라 ISP인증서를 사용하던 PC가 아닌 다른 PC로 옮겨 사용하기 위해 복사를 하려면 기존에 카드번호와 ISP비밀번호만으로도 가능했던 것이 카드번호, ISP비밀번호는 물론 카드비밀번호, CVC번호, 주민등록번호 등을 추가로 입력해야 한다. 또 IP(인터넷프로토콜)도 추가하게 됐다. 이와 함께 결제나 인증 시 입력오류가 3회 발생될 경우 해당 인증서를 삭제하고 재발급을 받도록 했다.

비자 9개 회원사 ‘자구책 마련 협의 진행 중’

BC·국민 ‘보안 강화’…쇼핑몰 ‘통일안 마련’

◇ 카드번호 앞부분 노출로 통일 = 인터넷 쇼핑몰 업계도 이번 카드 도용사고 이후 대책마련에 나섰다.
실제 이번 신용카드 번호를 알아낸 배경에는 인터넷 쇼핑몰마다 각기 다른 부분의 신용카드 번호를 노출시켰던 점이 크다. 이번 카드 도용사건에는 범죄 용의자들이 각기 다르게 노출되는 카드번호를 여러 인터넷 쇼핑몰에서 확인한 후 조합해 범죄에 이용했다.

따라서 한국온라인쇼핑협회를 주축으로 50여개의 회원 인터넷 쇼핑몰은 이번에 문제가 된 카드번호 노출을 하나의 방안으로 통일시키기로 했다. 현재 기존의 각기 다른 부분이 노출되던 신용카드 번호를 모두 앞부분만 노출하는 방안이 최종 협의된 것으로 전해지고 있다. 그렇지만 실제 시행단계에서는 카드사의 협조가 필요해 다소 시일이 걸릴 것으로 예상되고 있다.

대형 쇼핑몰 한 관계자는 “이번 주 중으로 신용카드사가 가맹점에 공문을 발송할 것으로 알고 있다”며 “그럴 경우 전산작업 등을 거쳐 이르면 내달에는 모든 소호몰까지 카드번호 노출 부분을 통일 시킬 수 있을 것”이라고 말했다.

◇ 안심클릭 대응방안 ‘시행일정 불투명’ = 이번 카드사의 대응방안은 정보유출로 인한 카드 도용 사고를 완전 예방하기는 한계가 있을 것으로 예상된다. 우선 안심클릭이 검토하고 있는 대응방안이 실제 실행되는 데까지는 다소 시일이 걸릴 것으로 전망되기 때문이다.

비자코리아와 9개 회원사는 현재 전자상거래시 공인인증서 첨부를 의무화하는 거래 금액을 현 30만원 이상에서 이보다 낮은 10만원이나 20만원, 또는 모든 거래에 공인인증서를 첨부하는 방안을 검토 중에 있다. 그러나 이 방안은 이미 오래전부터 인터넷 쇼핑몰업계의 반대로 실행에 어려움을 겪고 있는 사안이다.

실제 과거에 금융감독원이 10만원 이상의 전자상거래에 공인인증서 적용을 의무화 할 계획이었으나 쇼핑몰업계의 반대로 30만원 이상으로 조정된 바 있다.

현재 이와 관련해 안심클릭 관계자는 “쇼핑몰 업계와 최종 협의가 이뤄진 것은 아니지만 어느 정도 협의가 진행됐다”고 밝히고 있다.

또 CVC 번호 추가 등록 등의 방안도 안심클릭을 제공하는 비자코리아 9개 회원사가 동시에 실시하기에는 쉽지 않을 것으로 예상되고 있다. 따라서 일부 카드는 CVC 추가 등의 보완작업이 진행되겠지만 일부 카드는 과거와 동일하게 사용될 수도 있을 것으로 보고 있다.



◇ 소호몰까지 통일화 쉽지 않을 듯 = 인터넷 쇼핑몰 업계가 추진하는 방안도 쉽지는 않을 전망이다.

문제가 된 카드번호 노출 부분에 대해 한국온라인쇼핑협회가 주축이 돼 동일 방식으로 통일시키기는 했지만 이 협회 회원사는 대형쇼핑몰을 중심으로 한 50여개뿐이다. 따라서 소호몰 등을 비롯한 수많은 인터넷 쇼핑몰들이 대형 쇼핑몰과 같이 모두 하나의 방안으로 통일시키기는 쉽지 않다.

이에 대해 인터넷 쇼핑몰 한 관계자는 “대부분의 쇼핑몰은 카드사와 직가맹점 계약이나 대표가맹점을 통한 계약을 맺고 있다”며 “따라서 카드사가 직가맹점인 대형 쇼핑몰과 대표가맹점인 PG(지불결제대행)업체에게 카드번호 노출 부분을 통일화 하는 공문을 발송해 이를 이행케 하면 된다”고 설명하고 있다.

실제 현재 매우 작은 규모의 소호몰이라 하더라도 PG업체를 통한 대표가맹점 계약을 맺고 있는 상태다. 대표가맹점인 PG사는 약 15개 정도이고 이 PG사가 소호몰 대신 직접 결제 창을 띄워주는 역할을 담당하고 있다.

그러나 카드사들의 이해관계로 인해 공문 발송이 언제 이뤄질지에 대해서는 아직 미지수인 상태다. 이로 인해 인터넷 쇼핑몰의 카드번호 노출부분 통일화도 지연될 소지가 있다.



◇ 안심클릭·안전결제 악용 사례 = 이번 사고는 범죄 용의자가 신용카드 번호 16자리와 결제 승인에 필요한 비밀번호 또는 인증서 번호만 알면 안전결제와 안심클릭을 통해 인터넷에서 물품을 살 수 있다는 점을 악용한 것이다.

안심클릭은 주로 신용카드 회사들이 도입한 인터넷 결제 방식으로 카드번호와 결제 승인 번호만 알면 거래가 가능하다. 주로 은행들이 발급한 신용카드 결제에 쓰이는 안전결제는 인증서를 따로 발급받도록 했지만 인증서 역시 카드번호와 비밀번호만 알면 언제든지 재발급할 수 있어 안심클릭과 별 차이가 없다는 게 경찰의 설명이다.

이들은 타인의 신용카드 번호를 알아내기 위해 인터넷 구글 검색이나 해킹으로 쇼핑몰 사이트나 카드회사 회원들의 ID, 비밀번호부터 먼저 알아냈다.

이어 이 ID와 비밀번호를 이용해 해당 사이트에 접속한 뒤 일부만 공개돼 있는 신용카드 번호를 모아 합하는 방식으로 16자리 번호 전체를 알아냈다. 쇼핑몰 사이트에서는 앞의 12자리 번호만 공개돼 있는 카드 소유자의 매출전표를 열람하고 신용카드사 홈페이지에서는 뒤의 4자리 번호만 나와 있는 카드소지 내용을 확인해 알아냈다.

한편 이번 피해 건수 총 53건 중 49건이 안심클릭을 통해 이뤄진 것으로 알려지고 있다.



신혜권 기자 hkshin@fntimes.com