한카드가폰마다다른일련번호…애플페이,보안허점인증수두룩
문자인증실패하면타기기등록가능여러단말기등록하자각기다른번호지속적문제제기에도업체는요지부동美본토서도금융범죄악용지적잇따라
애플사(社) 간편결제시스템 애플페이 국내독점 사업자인 현대카드의 보안 싱크홀이 실제상황으로 빚어질위기에 처했다. 불특정다수에 노출된 온라인 커뮤니티에 별다른 인증절차 없이도 가족을 포함한 제3자 명의 카드등록이가능하다는 다수의글이우후죽순 격으로오르고있다.
보안리스크에사실상속수무책인데도현대카드는 정태영부회장의야심작이라는 의미의애플페이홍보에만열을올리는모습이다.현대카드뿐아니라애플코리아도마땅한 해결책을내놓지않은 채하세월을 보내는 것으로 드러나빈축을사고있다.
17일 본지취재 결과 본인 애플 기기에서의제3자 명의 카드 등록이무난히가능한 것으로 확인됐다. 해당 카드를탑재한아이폰은서울 시내 애플페이 가맹점에서여러차례정상결제가 이뤄졌다. 보안상 리스크를 제기할 수있는 핵심은 ‘휴대폰 점유인증(MO인증)’의 허점이다.
MO인증은 이용자가 자기 기기에서일회용인증문자를카드사로수신해스마트폰소유자임을 증명하는 방식인데, 이 과정을 의도적으로 실패하면본인애플 기기에서타인카드등록이문제없이가능해진다.현대카드가MO인증실패시자동으로이어지는 ARS 인증절차를폐지했으나역부족이라는지적이나오는이유다. [관련기사 : 본지 4월 27일자 “애플페이독점현대카드, 이제야타인명의차단…금감원입김에몸사리기”]
본지보도 직후이뤄진대응 방안이라는 점에서이목이쏠렸으나 현재까지도 소셜미디어와 온라인 커뮤니티에는 ARS 절차가 없어도인증에문제가 없다는 내용의상당수 글이애플페이이용자를현혹하는중이다.
이런가운데여러아이폰에서1개현대카드가 중복 등록되는 오류가 추가로 파악돼보안논란을 가중하고 있다. 동일한 카드임에도 각기다른 기기에서고유한 애플페이번호가 부여되는 것은 물론, 이 기기들에서 동시다발적으로결제가 전개되는동안이상금융거래탐지시스템(FDS)은 작동하지않고있다.
취재진의 지속한 문제 제기에도 현대카드와 애플코리아 측은 요지부동이다. 수일에 걸쳐해명을 요구했으나양측모두무대응으로일관하고 있다. 특히애플코리아는 사내 보안을 중시하는 미국 애플 본사 지침에 따라 의견을 함부로 꺼내기 어려우리란 추측만 무성할 뿐이다.
이를 두고 관련업계에서는 애플의경우 국내다른 정보통신(IT)회사와 달리관계자 해명을 내지않는다며함부로 발언했다간 애플 측에서어떤 인사 불이익을 가할지모른다고 전했다. 페이업계한관계자는“애플 본사측에서꿈쩍도 안 하는데 애플코리아나 현대카드나어떤후속액션을 취하겠냐”며금융당국의개선가이드라인이선행돼야한다고강조했다.
금융당국은 잇달아 불거지는 현대카드 보안이슈를중점적으로살펴볼예정이라고경고했다.국내페이시장을선점한삼성페이에맞서현대카드와애플의합작품인애플페이영업파이가 점차 확대되는 동시에보안 리스크도 계속불거질수있다는판단때문이다.금감원관계자는 “(ARS 인증을 거치지 않아도 된다는점에서)이전과다른경우로보인다.살펴볼것”이라고밝혔다.
한편미국본토에서는애플페이의허술한본인인증실태가 사회적의제로 떠오른바 있다.월스트리트저널등미국주요매체가애플페이의소홀한본인인증절차를 겨냥, 해당기술이금융범죄에 악용될 가능성이 있다고 보도한점이방증한다. 이같은문제제기는미간편결제전문가들을 중심으로 실물 카드에비해애플페이도용 사기건수가 많다는 지적에서비롯됐다.