‘안전결제 무더기 해킹’에 BC·KB카드 회원들 불안

경찰, 서버보다 개인PC 해킹에 무게

비씨(BC)카드와 케이비(KB)국민카드의 ‘안전결제’(ISP) 시스템 이용자들이 무더기로 해킹을 당한 것으로 드러났다. 인증서와 암호로 결제를 진행하는 아이에스피 인증방식은 카드번호 입력방식보다 더 안전한 것으로 알려져왔다. 경찰과 금융당국 쪽은 결제서버가 아닌 개인컴퓨터 해킹 쪽에 무게를 두고 있다.

경찰청 사이버테러대응센터는 지난달 초 비씨카드와 케이비국민카드 이용자 190여명의 아이에스피 인증서가 유출돼 830차례에 걸쳐 1억8000여만원의 피해가 발생해 수사를 진행중이라고 4일 밝혔다. 피해액은 모두 온라인 게임사이트에서 결제된 것으로 전해졌다. 아이에스피는 30만원 미만의 소액결제 때 사용되는 결제방식으로, 신용카드 정보를 입력해 인증서를 한번 발급받으면 그 이후로는 암호만 입력해 결제를 진행하는 방식이다. 비씨·국민카드가 출자한 결제중개회사에서 이들 두 카드사와 수협은행의 결제서비스를 대행하고 있다. 아이에스피 시스템에 가입된 카드는 현재 1670여만개로 집계됐다.

경찰과 카드사 쪽은 일단 아이에스피 서버가 아닌, 악성코드에 감염된 이용자의 개인컴퓨터를 통해 인증서가 유출된 것으로 보고 있다. 아이에스피 서비스를 운영 대행하고 있는 브이피㈜는 자료를 내어 “국외의 전문해커들이 일부 게임사이트 이용 고객의 컴퓨터를 해킹해 아이에스피 인증서 파일을 불법 복사한 뒤, 게임아이템 구매에 도용한 것으로 현재까지 확인되고 있다”고 밝혔다.

금융당국과 카드사들은 원인 파악 및 후속 대책 마련에 고심하고 있다. 금융감독원은 아이에스피 결제 서버에 대한 해킹 가능성까지 고려해, 다음주 초 카드사와 결제대행회사 등에 대한 현장점검에 나설 계획이다. 소현철 금감원 아이티(IT)감독국 검사지원2팀장은 “인증서는 컴퓨터 하드디스크보다는 이동식저장장치(USB) 또는 휴대전화에 저장하도록 하고, 피시(PC)방 등 다수가 쓰는 컴퓨터는 언제든 해킹 위험에 노출돼 있는 만큼 결제를 하지 않는 것이 좋다”고 당부했다. 비씨카드와 국민카드 쪽은 피해가 발생한 지난달 4~5일 이후부터 게임사이트에서 결제할 때는 공인인증서를 통해 한번 더 확인하도록 하고, 승인금액·결제횟수 등도 함께 제한하는 등 후속 조처를 취하고 있다.

최혜정 기자 idun@hani.co.kr

<한겨레 인기기사>

■ 전여옥 “박근혜, 대통령 될 수도 되어서도 안된다”
■ 안 또 예상깨고 ‘지원방안 침묵’…‘안개행보’ 재개
■ ‘그림자 보좌관’ 가는길 눈물로 배웅한 박근혜
■ ‘안전결제 해킹’에 BC·KB카드 회원들 불안
■ 카드사들 해마다 200억씩 사회환원한다더니…
■ ‘강남지구 마지막 임대아파트’ 1371가구를 잡아라
■ [한겨레 프리즘] ‘착한 불도저’ 박원순