카드사들, 앱카드 발급 보안강화 나서
[서울파이낸스 나민수기자] 최근 삼성카드가 제공하는 '앱카드(애플리케이션형 모바일카드)'에서 명의도용 사례가 적발되면서 모바일카드 안정성이 도마 위에 올랐다.
12일 업계에 따르면 삼성카드는 최근 자사 앱카드를 이용하는 고객 53명이 금전 피해를 입었다는 신고 300건이 접수됨에 따라 이 사실을 지난 5월 초 경찰청과 금융감독원에 자진 신고했다.
이와관련 삼성카드는 자체 조사를 벌인 결과 이번 명의도용 사고는 기본적으로 스마트폰 스미싱(문자메시지와 피싱의 합성어)에 의한 것으로 파악하고 있다.
삼성카드 관계자는 "현재로서는 개인정보를 빼내 다른 스마트폰에 앱카드를 개설하고 이를 결제에 사용한 것으로 추정하고 있다"며 "피해 고객에게는 피해 사실을 알리는 동시에 신용카드 사용 중단과 재발급 조치를 취했다"고 설명했다.
이번 앱카드 도용 사건의 원인은 아이폰의 제품적 특성 때문에 발생한 것으로 분석되고 있다.
안드로이드폰은 유심칩에서 전화번호를 불러오는 기능이 있어 앱 카드를 위한 본인 인증시 인증번호를 받는 전화번호를 바꿀 수 없다. 반면 아이폰의 경우 개인정보 보호를 위해 유심칩으로부터 기기번호(전화번호)를 불러오는 기능이 없는 만큼 문자서비스(SMS) 등을 통해 본인확인을 해야 한다. 이때 인증번호를 받는 전화번호를 임의로 설정할 수 있다. 즉, 인증번호를 받는 전화번호를 자신의 번호로 바꿔 인증번호를 중간에서 빼돌릴 수가 있다는 허점이 발생하는 것이다.
현재까지 삼성카드를 제외한 나머지 카드사들의 피해는 접수되지 않은 것으로 알려졌다.
하지만 인증방식에 허점이 드러난 만큼 카드사들은 아이폰에 대한 인증을 강화하고 있다. 삼성카드는 앱카드를 이용할 때 아이폰 이용자의 인증방식을 추가·보완했다. 또 11개 게임사이트에 대한 인증제한 조치를 취해 결제 시 두 가지 이상의 방식으로 인증을 거치도록 했다.
롯데카드의 경우 앱카드 발급시 카드번호와 비밀번호를 입력하도록 하고 있으며 현대카드는 카드번호·비밀번호·CVC값 인증이나 간편결제 아이디와 주민번호 뒷자리를 요구하고 있다.
최근 앱형 모바일카드 발급을 시작한 하나SK카드의 경우 공인인증을 필수 인증방식으로 사용하고 있다.
업계 관계자는 "이번 사고는 아이폰의 보안을 역으로 이용한 지능범들의 소행"이라며 "다만, 이번 사고를 계기로 카드사들 마다 아이폰 본인 확인 방식을 강화하고 있어 향후 모바일카드 보안은 더욱 강화될 것으로 보인다"고 말했다.
