 |
| (사진=KT알파) |
[알파경제=이준현 기자] KT알파의 기프티쇼 서비스에서 발생한 부정 결제 사고는 별도의 추가 인증 없이 고액 결제가 가능한 '간편결제 시스템의 허점'이 주된 원인인 것으로 드러났다.
최근 대형 플랫폼의 개인정보 유출 사고가 잇따른 가운데, 탈취된 정보가 실제 금전 피해로 이어지는 '2차 가해' 우려가 현실화됐다는 지적이다.
23일 금융권 및 업계에 따르면 금융감독원은 지난 14일 발생한 KT알파 도용 결제 사고와 관련해 구체적인 사실관계 파악 및 조사에 착수했다.
이번 사고의 핵심은 보안 절차의 부재였다. 통상적인 간편결제가 결제 시 비밀번호나 생체 인증을 요구하는 것과 달리, 해당 서비스는 최초 카드 등록만 되어 있다면 이후에는 클릭만으로 결제가 이뤄지는 구조였다.
범행 세력은 이 같은 '프리패스' 보안 틈새를 파고들었다. 외부에서 불법 습득한 아이디와 비밀번호로 접속에 성공하기만 하면, 기등록된 카드를 통해 150만 원 상당의 상품권을 순식간에 사들일 수 있었다. 피해자들은 자신이 카드를 등록하지 않았음에도 결제가 이뤄졌다고 호소하는 등 속수무책으로 당했다.
현재까지 확인된 피해 규모는 10여 명, 피해액은 1000만 원을 상회한다.
KT알파 측은 회사 내부 서버가 뚫린 '해킹'이 아니라는 점을 분명히 했다. 회사 관계자는 "외부에서 수집된 타인의 계정 정보를 무작위로 대입해 로그인한 뒤 결제를 시도한 도용 범죄"라고 선을 그었다.
하지만 일각에서는 올해 발생한 쿠팡, SK텔레콤 등의 대규모 개인정보 유출 사태가 이번 사건의 도화선이 됐을 가능성을 제기한다. 시중에 떠도는 개인정보가 보안이 취약한 결제 시스템과 만나 실제 피해자를 양산하는 구조가 만들어졌다는 분석이다.
금융감독원은 해당 사안에 대한 조사에 착수했다.
알파경제 이준현 기자(wtcloud83@alphabiz.co.kr)
