티몬페이, 인증없이 비번 변경 '피해 키워' …간편결제 보안 주의보

차현아 기자
입력 2018.12.18 06:00
온라인 쇼핑몰이 내놓는 자체 간편결제 서비스가 쉽고 간편하게 사용할 수 있지만, 사용자 아이디와 비밀번호 등 개인정보가 쉽게 유출될 수 있다는 우려가 있어 대비가 필요하다는 지적이 나온다.

지난 14일 온라인 쇼핑몰 티몬에서는 간편결제 서비스 ‘티몬페이’의 명의도용 피해가 발생했다. 당시 유출된 아이디로 접속한 누군가가 자신의 티몬페이로 수십만원 상당의 문화상품권을 결제했다는 피해 사례가 온라인 커뮤니티에 올라오기도 했다. 티몬페이는 고객의 아이디와 비밀번호가 유출되면 제3자가 고객 계좌와 연동된 결제 비밀번호까지 별도의 인증없이 변경할 수 있다.

17일 현재 티몬은 티몬페이를 통한 결제 자체를 막아놨다. 티몬페이의 결제 비밀번호 변경은 현재도 다른 사람 명의로 된 휴대전화 인증을 통해서도 가능하지만, 일단 결제수단을 선택할 때 티몬페이 자체를 선택할 수 없도록 하는 임시조치를 취해놓은 것이다.

티몬 측은 "서비스 개선 작업을 충분히 진행한 뒤 19일 이후 다시 티몬페이 기능을 내놓을 계획이며, 보완 조치 상황에 따라 더 미뤄질 수도 있다"고 전했다.

티몬페이는 티몬 모바일 앱을 통해 최초 1회 카드 정보와 개인인증번호를 등록하면 다른 인증과정 없이 즉시 결제를 끝낼 수 있는 시스템이다.

대체로 다른 온라인 쇼핑몰들의 경우 제3자가 결제 비밀번호를 초기화하거나 변경하려 할 때 휴대전화를 통한 본인 인증 절차를 밟도록 했다. 이 때 계정 회원 이름과 인증 받으려는 휴대전화 명의가 다르면 안 된다. 제3자가 계정 이름을 바꾸고 싶어도 계정 소유자 이름의 휴대전화로만 인증을 거쳐야 하는 시스템이다.

11번가의 11페이 계정 비밀번호 변경 화면. 타인의 명의 휴대전화로는 계정 비밀번호 변경이 불가능하다.
위메프나 11번가는 계정의 회원 이름을 변경하지 않은 상태로 제3자가 페이 결제비밀번호만 초기화하는 건 불가능하다. 계정 회원 이름과 페이 결제번호 변경 때 본인 인증을 받을 휴대전화의 명의가 같아야 하기 때문이다. G마켓과 옥션도 가입자 명의의 번호로 본인 인증을 해야만 결제 비밀번호를 바꿀 수 있다.

반면 티몬의 경우 누군가 아이디와 비밀번호를 알아내 계정에 접속만 할 수 있어도, 별도의 인증 절차 없이 제3자가 회원 정보를 자신의 이름과 휴대전화 번호로 바꾸는 것이 가능했다. 따라서 마치 자신의 계정인 양 자신의 휴대전화로 인증을 받아 결제 비밀번호를 변경할 수 있었던 것.

아예 결제 비밀번호 없이도 결제가 가능한 온라인 쇼핑몰들의 경우에도 유사한 명의도용 문제가 발생할 수 있다는 우려도 나온다.

쿠팡의 경우 ‘원터치 결제’라는 기능을 만들어뒀다. 모바일로 상품을 고른 후 ‘결제하기’ 버튼 한 번만 누르면 별도 비밀번호 입력 없이도 결제가 완료되는 기능이다. 별도 신청 없이도 이전에 등록한 결제수단을 자동으로 불러온다.

이 때문에 원터치 결제라는 기능을 활성화한 어떤 계정에 누군가 아이디와 비밀번호를 알아내 접속한 뒤, 결제하기만 누르면 결제 비밀번호 입력 없이도 명의도용이 가능한 것 아니냐는 의문이다.

쿠팡은 자체 개발한 ‘부정거래 탐지 시스템(FDS)’을 통해 고객의 구매 패턴을 파악해 이상신호가 감지되면 비밀번호를 추가로 요구하는 조치를 두고 있다. 앱에 접속한 휴대전화 기기나 배송 주소지 등이 갑자기 달라졌거나, 이전에 사던 제품군과 다른 고가의 제품을 사는 등 구매 패턴이 달라지면 결제할 때 비밀번호를 요구하는 식이다.

쿠팡 측은 "여러 로직을 갖춘 자체 부정거래 탐지 시스템이 이상 상황을 감지한다"며 "지금까지 단 한 번도 명의도용 등의 사례는 발생한 바 없다"고 전했다.

물론 명의도용으로 인한 피해를 예방하는 방법은 사용자가 비밀번호를 주기적으로 복잡한 패턴으로 바꾸는 것이다. 다만 주민등록번호 등 각종 개인정보가 이미 많이 유출된 현실을 고려할 때 사용자만의 노력만으로 완벽한 예방은 불가능하다.

최근 5년간 휴대전화 명의도용 피해 건수만 1만5000건에 달한다는 통계도 있다. 지난 9월 윤상직 국회 과학기술정보방송통신위원회 소속 의원(자유한국당)은 이통 3사와 과학기술정보통신부로부터 제출받은 자료에 근거해 최근 5년간 휴대전화 명의도용 피해 신고 접수가 8만5886건에 이르고, 이 중 1만5392건이 실제 명의도용 피해로 이어졌다고 밝힌 바 있다.

온라인 쇼핑몰 차원에서도 간편 결제시스템을 갖출 때 명의도용 등 보안에도 보다 많은 관심을 기울여야 한다는 목소리가 높다.

한 업계 관계자는 "간편한 결제도 중요하지만 결제 정보 보안에도 많은 관심을 기울이고 있다"며 "결제 단계마다 비밀번호를 요구하거나 생체 인증을 거치도록 하는 등 여러 장치를 마련해 최대한 피해 발생을 막고 있다"고 전했다.


T조선 뉴스레터 를 받아보세요! - 구독신청하기
매일 IT조선 뉴스를 받아보세요 닫기