해커들은 아이폰에 비해 해킹에 취약한 안드로이드폰 이용자에게 낚시성 문자를 보내 첨부된 인터넷 주소를 클릭한 사람들의 폰에 있는 공인인증서 정보를 빼냈다. 여기까지는 일반적인 스미싱 기술과 다를 게 없다. 기발한 것은 해커들이 빼낸 정보로 아이폰에 피해자 명의의 앱카드를 등록, 환급성 게임사이트를 통해 돈을 챙겼다는 데 있다. 안드로이드폰과 아이폰의 장단점을 교차 이용한 것이다.
이번 사고의 일차적 책임은 앱카드 발급과정에서 휴대폰 본인인증 절차가 가장 허술한 삼성카드에 있다. 삼성카드는 아이폰 사용자에게 전화번호 입력만으로 본인인증을 해줬다. 앱카드를 운영하는 6개사 중 도용 등 이상징후가 있는 결제를 사전에 차단할 수 있는 앱카드 부정방지 시스템(E-FDS)을 구축한 곳은 신한·현대·롯데카드 등 3곳뿐이라고 한다.
금융감독원이 6개사에 공인인증서를 이용한 앱카드 등록시 카드 뒷면 CVC번호 입력 등 추가 인증절차를 의무화하도록 했지만 임시방편일 뿐이다. 안드로이드폰 이용자가 많은 만큼 아이폰처럼 출처가 불분명한 사이트에서 설치되는 기능 자체를 차단하거나 이용자 동의를 얻어 선택적으로 차단할 수 있게 하는 정책적 접근이 요구된다. 필요하다면 안드로이드 운영체계(OS) 개발사인 구글과의 정책협력도 필요하다. 스마트폰 자체의 보안 취약성까지 결부된 만큼 정부와 통신사, 스마트폰 제조사와 보안업체를 아우르는 범정부 차원의 대책마련이 절실하다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
