주메뉴바로가기 본문바로가기
전체메뉴
HOME > Target@Biz > 비즈

반복되는 금융 앱 보안 사고, 원인과 대책은?

카드 부정 결제·오프뱅킹 악용·개인정보 노출 등… 전문가 "추가 피해 없도록 후속 조치가 중요"

2022.04.22(Fri) 09:45:10

[비즈한국] 금융사 앱에서 잇따른 보안 사고가 발생하며 보안에 비상등이 켜졌다. 사고로 인한 피해는 크게 두 가지 종류다. 하나는 이용자 모르게 앱 카드 결제가 되거나 오픈뱅킹으로 현금이 빠져나간 경우, 둘째는 앱에서 타인에게 개인정보가 무단 유출된 경우다. 하지만 뚜렷한 원인도 대책도 나오지 않아 피해자의 불안감은 커지고 있다.

 

금융권에서 부정결제, 앱 내 개인정보 무작위 노출 등의 보안사고가 연이어 발생했다. 사진=연합뉴스

 

#나도 모르는 사이 앱 가입, 순식간에 상품권 수백만 원 결제

 

최근 신한카드에서 무더기로 부정 결제 사건이 발생한 사실이 전해져 충격을 줬다. 이용자가 모르는 사이 짧은 시간 동안 수차례에 걸쳐 국내 쇼핑몰·해외사이트에서 상품권 등의 결제가 진행된 것. 한 피해자는 카드사에 신고하는 도중에도 실시간으로 부정 결제 피해를 본 것으로 나타났다. 이후 피해자들이 커뮤니티를 만들고 청와대 청원을 올리는 등 행동에 나서면서 사건이 알려졌다. 당초 피해자는 20명 남짓으로 알려졌지만 보도 이후 비슷한 피해를 봤다는 이들이 늘어나며 현재 피해자 채팅방에는 약 190명이 모였다. 이 중에는 지난해와 올 초에 걸쳐 이미 피해를 봤다는 이들도 있다.

 

이번 사건의 중심에는 신한카드 앱(신한 PLAY)이 있다. 다수의 피해자가 타인의 스마트폰에 설치된 신한카드 앱에 본인의 카드가 등록돼 부정 결제가 이뤄지면서 금전적인 피해를 입었다. 현재 신한카드는 최근 앱 카드 결제 관련 피해는 보상하지만, 그 외 부정 결제에 관해서는 보상을 제한하고 있다. 더불어 부정 결제 사건의 자체 조사를 실시했지만 아직 정확한 원인은 밝혀지지 않은 상태다. 

 

신한카드의 초기 대응을 두고 비판이 일기도 했다. 14일 청와대 청원에서 피해자는 “카드사가 처음에는 개인정보 관리 소홀로 인한 개인 과실이므로 구제방안이 없다고 했다”며 “사건이 보도되고 피해자 모임이 생기니 그제야 보상 방안을 검토한다”고 주장했다. 신한카드 측은 여전히 “서버 보안에는 문제가 없으며, 절대 고의로 유출한 것이 아니다”는 입장이다. 지난 15일엔 “최근 사건은 피싱·스미싱 등으로 도용된 정보가 결제로 이어진 범죄로 보인다. 당사 내부정보 유출로 인한 사고는 아니다. (중략) 고객에게 금전적 피해가 발생하지 않도록 조치할 예정”이라고 공지했다. 이에 피해자들은 “피싱이나 스미싱을 당한 적이 없기 때문에 더욱 심각한 문제”라고 반박했다.

 

금융 앱으로 발생한 사건에는 카드 부정 결제만 있는 게 아니다. 2019년 12월 오픈뱅킹이 등장하면서 하나의 금융사 앱을 다른 계좌에서 자금을 출금·조회할 수 있게 됐다. 지난해 5월부턴 카드사도 오픈뱅킹 서비스를 시작했다. 만약 누군가가 이를 악용해 개인정보를 훔친 사람의 금융 앱에 접근한다면 피해자의 다른 계좌에서도 출금할 수 있는 셈인데, 실제로 피해가 발생하고 있다. 

 

광주에 사는 A씨는 2021년 12월 6일 처음 카드 부정 결제 피해를 입었다. 누군가가 A씨의 개인정보로 휴대전화를 개통했고, 이를 이용해 하루 만에 카드 결제·단기 대출·현금 출금까지 시도한 것. 범인은 A씨의 카드로 수백만 원을 대출받아 오픈뱅킹에 연결된 계좌로 출금하는 수법을 사용했다. 이 사건으로 A씨가 입은 피해는 환불을 제외하고 189만원에 달한다. 

 

그러나 범죄는 끝나지 않았다. 지난 2월 6일 범인은 A씨의 명의를 이용해 오픈뱅킹으로 현금을 뽑고, 게임 아이템을 결제했다. A씨가 입은 금전적 피해는 약 50만 원. 3월 10일에도 부정 결제 시도가 있었지만 A씨가 유료 명의도용 차단 서비스를 이용하면서 다행히 3차 피해를 막을 수 있었다. A씨는 아직 피해 금액 일부를 돌려받지 못한 상태다.

 

A씨는 눈 깜짝할 사이 수백만 원이 결제되는 부정결제 피해를 입었다. 사진은 지난해 12월 6일 A씨가 입은 피해 거래내역. 사진=A씨 제공

 

A씨는 “이전에 피싱이나 스미싱을 당한 적이 없어 경찰에서 사건을 사이버 수사대가 아닌 경제팀으로 배정했다”며 “나도 모르는 사이 카드사 앱에 가입됐고 거액이 결제됐는데, 카드사는 보상 대상이 아니라고 한다. 심지어 원래 쓰던 휴대전화에는 카드사 앱을 설치하지도 않았다”고 호소했다. 

 

#끊이지 않는 금융 보안 사고…처벌은 ‘솜방망이’

 

이처럼 부정 결제 피해 사례가 지속적으로 발생하는 가운데, 이번에는 금융 앱에서 개인정보가 무작위로 노출되는 사고마저 발생했다. 지난 18일 삼성증권이 운영하는 금융 통합 앱 ‘모니모’ 증권 탭에서 고객 344명의 개인정보가 노출됐다. 노출된 정보에는 △이름 △거래내역 △계좌번호 △잔고 △수익률 등이 포함됐다. 삼성증권 측은 “프로그램 업데이트를 하는 과정에서 오류가 난 것으로 파악했다”며 “외부 유출이나 금전적 피해는 없었으며, 고지 의무가 없지만 개인정보가 노출된 고객에게 전부 연락해 상황을 설명했다”고 전했다.

 

이어 20일에는 KB국민카드 앱에 모르는 사람의 계정이 연결됐다는 언론 보도가 나왔다. 한 KB국민카드 앱 이용자가 로그인했더니 타인 계정으로 연결돼 타인의 이름과 주소, 결제내역 등을 볼 수 있었던 것. KB국민카드 측은 “20일 오전 일시적으로 전산시스템이 불안정해 발생한 사건으로, 해당 제보자 외에 다른 사례는 없다. 전산 오류는 조치를 마쳤으며 재발 방지를 위해 노력하겠다”고 답했다.

 

문제는 이 같은 금융사고가 어제오늘의 일은 아니라는 점이다. 강민국 국민의힘 의원실이 금융감독원에서 받은 ‘5년간(2017~2021년) 국내 카드사 부정사용 내역’에 따르면 카드 정보도용은 2017건, 명의도용은 1077건에 달했다. 특히 명의도용의 경우 지난 한 해에만 총 202건이 발생했으며, 5년간 가장 많은 명의도용 사건이 발생한 카드사는 롯데카드(314건)였다. 그뿐만 아니라 오픈뱅킹의 취약한 보안을 향한 우려의 목소리도 서비스 시행 이후 꾸준히 나왔다. 

 

금융감독원은 연이은 사고에 대응 방안을 내놨다. 신한카드 부정 사용 대책으론 “카드사에 소비자 구제를 요청하고 향후 별도의 수시검사를 하겠다”며 “취약 부분 발견 시 전 카드사를 대상으로 전수조사하고 필요한 제도를 개선할 것”이라고 발표했다. 금감원 관계자에 따르면 검사는 카드사의 자체 조사 결과가 나오고 시행할 전망이다. 삼성증권·KB국민카드 개인정보 유출 사고 대책으론 “재발 방지를 위해 시스템을 개선하도록 지도하겠다”며 “모바일 기반 금융 플랫폼의 프로그램 테스트와 제3자 검증 절차 준수 여부 등의 점검을 강화할 것”이라고 밝혔다. 

 

전문가는 “추가적인 보안 사고가 일어나는 것을 막으려면 피해 사례의 원인을 자세히 분석해야 한다”고 말했다. 사진=각 사

 

그렇다면 앱 보안 관련 금융사고가 잇달아 발생하는 원인은 무엇일까. 국내 금융 IT 보안 전문가인 김인석 고려대 정보보호대학원 교수는 “부정 결제는 현재 개인정보 유출이 어디까지 일어났는지 모르기 때문에 부정 결제가 일어나기 전에 막기는 쉽지 않아 보인다. 다만 이상거래탐지시스템(FDS)이 평소와 다른 패턴의 연속 결제를 막을 수 있었을텐데, 이 부분의 기술적인 보완이 필요하다”며 “앱 내 개인정보 노출 사건은 개발 과정에서 급하게 진행했거나 사전테스트가 미흡했던 것으로 보인다”고 설명했다. 

 

대책과 관련해 김인석 교수는 “개인정보 유출 수준을 모르는 만큼 추가 피해가 나올 가능성이 크다”고 우려하며 “재발 방지에 무게를 둬야 한다”고 강조했다. 김 교수는 “편의성과 보안 사이에서 중심을 잘 잡아야 한다. 특히 계좌 개설시 대면 확인을 필수로 하는 등 보안에 무게를 둬야 오픈뱅킹 도용 사고 등을 막을 수 있다”며 “보상보다 후속 조치에 힘쓰는 게 중요하다. 카드사 말처럼 개인정보의 사전 유출로 발생한 문제라면 피해자가 얼마나 더 생길지 모른다는 뜻 아닌가. 피해 고객에게 협조를 구하고 사례를 분석해 유출 경로·거래 방법 등을 파악해야 미래의 피해를 줄일 수 있다‘고 조언했다. 

 

부정 결제나 개인정보유출 등의 피해자의 법적 보상이나 처벌은 어떻게 이뤄질까. 2014년 카드사 개인정보유출 사건 집단 소송 등을 담당한 유철민 변호사는 “해킹 사건의 경우 드물지만 회사에서 개인정보 보호를 위한 책임을 다했다는 판결이 난다면 피해자가 소송에서 질 수도 있다. 소비자 과실이 있을 때도 배상이 줄어든다. 해킹 수법이 고도화해 법률 강화가 필요하다”며 “(사고가 발생한 금융사가 내는) 과태료는 상한 금액이 높지 않아 사실 회사에 부담을 주는 수준은 아니다”라고 설명했다. ​ 

심지영 기자

jyshim@bizhankook.com

[핫클릭]

· [건설노조 불법행위 민낯①] "우리 노조원 채용하라" 멈춰 선 공사현장은 ‘골머리’
· 하이트 '평타' 오비 '하락' 롯데 '상승'…코로나 2년, 주류업계 실적 '희비 교차'
· [단독] 쿠팡 간편결제 오류 의혹, 주문도 안했는데 배송·결제 속출
· '민증' 든 셀카까지? 암호화폐거래소 개인정보 보호 논란
· 개인정보 유출 전력 옥션, 인증문자 폭탄에도 '무신경'


<저작권자 ⓒ 비즈한국 무단전재 및 재배포 금지>