금융당국은 카드사의 모바일카드 담당자들을 소집해 앱카드 명의도용 사건에 대한 원인 파악과 보안체계에 대한 긴급 점검에 나섰다.
금감원은 삼성카드에서 앱카드(앱형 모바일카드) 명의도용 사건이 발생함에 따라 12일 카드사 관계자들을 불러 앱카드 시스템을 긴급 점검했다.
이날 회의에는 삼성·KB국민·롯데·농협·신한·현대카드 등 앱카드를 이용하고 있는 6개 카드사의 실무자와 프로그래머 등이 참석했다.
이에 앞서 삼성카드는 자사 앱카드를 이용 중인 회원의 카드가 환급성 게임사이트에서 여러 건의 소액결제가 발생한 것을 포착했다. 피해를 당한 회원수는 53명이며 피해금액만 6000여만원에 달했다. 아직까지 추가 피해 사례는 없는 것으로 확인됐다.
삼성카드는 지난 달 중순 자사 이상거래탐지시스템(FDS)을 통해 이상 징후가 포착되면서 이번 사고를 파악했다고 밝혔다. 경찰 및 금감원의 조사가 진행 중인 가운데 이번 사고는 사기범들이 스미싱 문자를 통해 개인 금융정보를 빼낸 뒤, 이를 이용해 해커의 스마트폰에 고객의 앱카드를 설치해 부정 사용한 것으로 추정된다.
차세대 결제수단으로 각광받고 있는 앱카드는 최초 카드 등록시에 카드번호와 CVC값 등을 통해 카드를 등록하거나 공인인증서를 통한 본인확인 절차를 거친다.
이때 안드로이드폰은 유심(USIM)에서 전화번호를 불러오는 기능이 있어 앱 카드 설치시 카드 소지자와 핸드폰 소지자가 동일인임을 확인하는 것이 가능하다. 하지만 아이폰은 이 기능이 없어 해커가 자신의 번호를 마치 고객 핸드폰 번호인 것처럼 이용하는 것이 가능했다. 따라서 아이폰의 경우엔 앱카드가 중복으로 설치돼도 카드사가 알 수 있는 방법이 없는 실정이다.
이에 따라 금감원은 우선 각 카드사에 인증프로그램에 대한 자체 점검을 주문하고 공인인증 방식을 사용하지 않도록 권고하는 한편 아이폰에 앱카드를 설치할 때에는 추가 인증을 반드시 거치도록 했다.
금감원 관계자는 “각사별로 시스템을 비교해 보니 아이폰과 공인인증 방식을 결합했을 때 사고가 발생할 우려가 있는 것으로 분석됐다”면서 “아이폰을 사용해 공인인증서 방식으로 앱카드를 이용할 경우 해킹 사고의 우려가 있다”고 밝혔다.
롯데카드의 경우 앱카드 발급시 카드번호와 비밀번호를 입력하도록 하고 있으며 현대카드는 카드번호ㆍ비밀번호·CVC값 인증이나 간편결제 아이디와 주민번호 뒷자리를 요구하고 있다.
최근 앱형 모바일카드 발급을 시작한 하나SK카드의 경우 공인인증만을 필수 인증방식으로 사용하고 있다. 한편 삼성카드는 이번 금전 피해를 당한 고객에게 전액 보상할 방침이다.