민영 통신사 뉴스판매사업

조좌진 롯데카드 대표

[뉴스21 통신=추현욱 ] 롯데카드 해킹 사태로 유출된 28만명의 신용카드 정보가 중국 전자상거래업체(C커머스)를 통해 부정 사용될 위험에 무방비 노출된 것으로 확인됐다.

카드번호와 카드고유확인번호(CVC) 등의 정보만 있으면 별도 추가 인증 절차 없이 결제까지 가능한 C커머스의 비인증 결제 방식 때문이다. 28만명에 이르는 정보가 대거 유출된 만큼 이상거래탐지시스템(FDS) 조차도 제대로 작동하기 어렵다는 우려가 불거진다.

23일 정보보안·인증업계에 따르면 알리익스프레스·테무·쉬인 등으로 대표되는 C커머스 업체는 신용카드 이용시 별도 본인 인증 절차 없이 최종 결제가 이뤄지고 있다. 이른바 비인증방식 결제를 채택하고 있기 때문이다. 최초 구매 과정에서 카드번호와 유효기간, CVC 등 카드정보를 입력하는 것만으로도 결제까지 완료가 가능하다.

최초 등록 과정에서도 국내 법령에서 규정한 본인 확인 방식이 아닌 제출한 이메일을 통한 추가 인증만 거친다. 이메일 계정이 살아 있는지만 보는 것이다. 사이트 계정 주인과 등록 카드 소유자를 매칭하는 과정도 없다. 반면 국내 가맹점의 경우 최초 카드 정보 등록 이후 안전결제(ISP), 안심클릭 등의 방식으로 카드사 단위 별도 본인인증을 거치도록 되어 있다.

롯데카드 해킹 사태로 정보가 유출된 297만명 가운데 28만명은 카드번호와 비밀번호 2자리, 유효기간, CVC외에도 주민번호와 생년월일, 전화번호까지 개인정보가 대거 빠져나갔다.

국내 결제업계 관계자는 “현재 상태로라면 이 정보를 바탕으로 얼마든지 C커머스에서 타인이 부정 거래를 할 수 있다”고 지적했다.

롯데카드는 온라인 결제의 경우 페이(PG)사를 통해 별도 본인인증을 수행하는 만큼 부정사용이 불가능하다는 입장이다. 하지만 본지가 직접 이날 테무에서 롯데카드로 신규 카드를 등록하고 결제하는 동안에도 어떤 본인인증 절차도 추가로 거치지 않았다.

인증업계 관계자는 “국내 가맹점과는 달리 일부 해외 가맹점, 특히 C커머스의 경우 가맹점이나 매입사 차원의 최종 검증 과정이 부족해 비자나 마스터카드 같은 글로벌 결제사의 인증 인프라 역시 사실상 우회하는 방식으로 최종 결제가 이뤄지고 있다”면서 “특히 이미 PG사에 등록된 카드정보를 통해 추가 결제가 이뤄졌을 경우 해당 결제가 정상 결제인지 부정사용인지 여부조차 특정하는 일이 쉽지 않다”고 전했다.

더 큰 문제는 FDS조차 무력화될 수 있다는 우려다. 이미 28만명에 이르는 막대한 양의 카드정보는 FDS 감시망을 얼마든지 피해갈 수 있다.

통상적인 FDS의 경우 미결제 계좌에서 단번에 고액 결제가 발생하는 등 이상 행동을 바탕으로 부정사용 여부를 최종 승인 이전에 감지한다. 이번 사태처럼 단번에 대규모 정보가 유출된 경우 가능한 조합은 기하급수로 늘어난다. 예컨대 해커가 이미 등록된 카드 정보와 내역을 바탕으로 여러 가맹점에서 동시다발적으로 1만원 이하의 소액 결제 명령을 수행하는 경우 등이 문제가 될 수 있다.

결국 부정사용이 발생한 뒤 사후 조치에 나설 수 밖에 없는 구조다. 심지어 현재까지 부정사용 사례가 단 한건도 없다는 롯데카드 해명과는 달리 SNS 등에서는 부정사용 사례가 속속 올라오고 있다. 국내에 법인을 두지 않은 해외 부정 사용의 경우 현행 국내법상으로는 사전 규제도 불가능하다.

카드업계 관계자는 “통상적인 경우라면 큰 문제가 없겠지만 지금처럼 28만명에 이르는 정보가 일제히 넘어간 경우 이미 등록된 정보를 통한 온라인 부정사용 가능성을 배제할 수 없다”면서 “특히 C커머스의 경우 워낙에 소액다건의 결제가 발생하고 환불도 잦은 만큼 해킹 사실 인지에 대한 소비자의 경각심도 부족한 상황이라 더욱 면밀한 점검이 필요하다”고 전했다.

이와 관련 롯데카드 관계자는 “키인거래 시 부정사용 가능성이 있는 28만명 대상으로 C-커머스와 같은 해외 온라인 가맹점 포함 모든 해외 온라인 결제에 대해 전건을 선 승인 거절하고 본인 확인 후에만 승인하고 있다”면서 “이번 침해 사고로 인해 발생한 피해에 대해서는 롯데카드가 책임지고 피해액 전액을 보상할 것”이라고 밝혔다.