온라인 신용카드 결제에 많이 쓰이는 ''안심클릭''이 무더기로 해킹 피해를 입은데 이어(CBS 노컷뉴스 1월 25일자 보도), 신용카드 인터넷 안전결제(ISP)마저 구멍이 뚫렸다.
서울지방경찰청 사이버수사대는 11일 신용카드 대리점에서 빼돌린 결제정보를 이용해 인터넷 안전결제 인증서를 무단으로 발급받아 수백만원을 부정사용한 혐의로 김모(23) 씨를 구속하고, 하모(23) 씨 등 2명을 불구속 입건했다.
김씨 등은 지난해 7월부터 지난달까지 은행권 신용카드의 소액 결제 수단인 인터넷 안전결제(ISP) 인증서 15개를 몰래 발급받은 뒤 39차례에 걸쳐 게임아이템을 구입했다 되파는 수법으로 700만원을 챙긴 혐의를 받고 있다.
경찰조사 결과 김씨는 지난해 5월부터 약 3개월 동안 울산의 한 신용카드 대리점에서 일하면서 고객정보를 빼돌린 뒤 본인 확인이 허술한 게임아이템 거래 사이트에서 집중 사용한 것으로 밝혀졌다.
앞서 중국발 해킹으로 추정되는 ''안심클릭'' 부정결제로 수억원의 피해가 발생한 데 이어 이번에는 은행권 신용카드의 ''안전결제''까지 허점이 드러난 것. 신용카드 안심클릭과 안전결제 방식은 카드 번호와 카드 뒷면에 기재된 카드인증코드(CVC), 그리고 비밀번호만 알면 누구나 30만원 미만의 소액 결제를 할 수 있다.
경찰 관계자는 "기존의 안심클릭과 안전결제 정보 등은 해킹에 노출될 염려가 크기 때문에 인증 과정에서 본인 명의 휴대전화 인증 제도를 도입하는 등의 대책 마련이 시급하다"고 말했다.
또한 게임아이템 거래 사이트는 이번 사건에서도 신용카드 부정결제를 통한 ''돈 세탁'' 장소로 활용됐다.
김씨 등은 빼돌린 개인정보로 안전결제 인증서를 새로 발급받은 뒤 게임아이템 거래 사이트에서 마일리지를 충전하고, 이어 마일리지로 게임아이템을 사들이고 되파는 수법을 반복해 현금을 챙긴 것으로 확인됐다.
이에 따라 불법자금 세탁 창구로 악용되는 게임아이템 거래 사이트에서는 아이템을 사고파는 명의자와 신용카드 고객의 명의자가 동일한 경우에만 결제가 가능하도록 시스템을 개선하는 등 대책이 필요하다는 지적이다.
경찰은 이같은 ISP 인증서 발급 방식과 게임아이템 거래 사이트의 허점을 노려 신용카드 정보를 빼돌린 뒤 부정사용하는 사례가 더 있을 것으로 보고 수사를 계속하고 있다.