최근 스마트폰 신용카드 서비스인 모바일 앱카드 도용으로 금전적인 피해를 입은 사례가 공개된 이후 이상거래탐지시스템(FDS)을 강화해야 한다는 목소리가 나오고 있다.
해킹을 원천적으로 막기 힘든 만큼 오프라인 뿐만 아니라 온라인, 모바일 카드 사용 환경에서도 부정사용으로 의심되는 행위를 막을 수 있도록 부정사용패턴을 추가하게 해야 한다는 것이다.
14일 카드사 및 보안업계 관계자들에 따르면 기존 FDS는 오프라인 상 카드 부정사용을 막는 역할을 담당해 왔다. 예를 들어 서울에서 카드 결제를 했던 사용자가 30분만에 부산에서 결제를 했을 경우 부정사용이라고 인식해 결제를 막는 식이다.
그러나 PC와 스마트폰 환경에서도 카드를 보다 손쉽게 쓸 수 있도록 하는 서비스들이 등장하면서 오프라인 뿐만 아니라 새로운 환경에 맞는 부정사용패턴을 확보할 필요성이 높아졌다.최근 문제가 된 앱카드 부정사용 사건은 해커가 안드로이드폰 사용자에게 스미싱 문자메시지를 보낸 뒤 이를 통해 확보한 공인인증서, 개인정보 등을 악용해 아이폰에서 해당 정보를 도용한 앱카드를 재발급해 결제에 악용했다.
금융보안연구원 성재모 본부장에 따르면 이 문제는 애플이 기기 인증에 대한 정보를 공개하지 않아서 불거진 일이다. 안드로이드폰의 경우 앱카드를 재발급할 때 실제 사용자가 쓰고 있는 기기가 맞는지에 대한 인증을 거친다. 그러나 아이폰에서 앱카드를 재발급할 경우에는 기기 인증 정보를 확인하지 않아도 쓸 수 있도록 돼있다. 해커는 이같은 점을 파고들었다.
문제는 이 같은 사기를 알아내고 대처하기가 쉽지 않다는 점이다. 이에 성 본부장은 카드 관련 사기를 막기 위해 앱카드와 같은 신규서비스에서 발생할 수 있는 부정거래를 막기 위한 모니터링 시스템이 강화돼야 한다고 강조했다.
이를 테면 게임머니를 한번도 구매한 적 없는 50대 카드 사용자가 하루에만 수십 건씩 결제를 시도할 경우 의심해 봐야 한다는 것이다. 이렇게 여러가지 신규서비스에 대해 부정사용이 의심되는 사안에 대해 보다 세심한 검토가 필요하다는 지적이다.
금융위원회가 지난해 7월 발표한 금융전산보안강화종합대책에 따르면 카드사가 운영 중인 FDS를 은행, 증권분야로 확대한다는 방침을 밝힌 바 있다.
글로벌 시장에서는 미국이 2011년 6월 인터넷뱅킹 인증 가이드라인(FFIEC)을 통해 부정거래 탐지 및 모니터링시스템 구축 권고안을 내놨다. 유럽중앙은행 역시 2013년부터 FDS 구축을 의무화하고 있다.
카드사들도 FDS를 강화하려는 모습이다. KB국민카드 관계자는 기존 FDS에 변화하는 여러가지 서비스에 맞춰 새로운 패턴들을 추가하는 방안을 검토 중이라고 말했다.
관련기사
- 모바일 앱카드도 스미싱 타깃…6천만원 피해2014.05.14
- 공인인증서 유출 악성코드 주의하세요2014.05.14
- 삼성카드, 온라인결제·문자알림 정상화2014.05.14
- POS단말기서 빼낸 정보로 현금 인출한 일당 검거2014.05.14
FDS를 강화하는 것과 함께 몇몇 보안솔루션에 의존하는 것이 아니라 전체적인 결제 관련 보안프로세스를 새롭게 정립할 필요가 있다는 주장도 있다.
보안회사 좋을의 김영혁 상무는 앱카드 뿐만 아니라 카드와 멤버십 카드 등을 하나로 모은 모바일 월렛 등이 모두 프로그래밍 언어 상 PC보다 해킹이 쉬운 자바 기반 안드로이드 운영체제(OS)를 활용하고 있어 조작이 쉬운데다가 제조사별, 기기별, OS별로 각각 다른 보안 최적화 작업이 필요해 어려움이 많기 때문이라고 말했다.
