​현대카드, 애플페이 보안 허점 우후죽순…정태영 야심작에 스크래치

[이코노믹데일리] 애플사(社) 간편결제시스템 애플페이 국내 독점 사업자인 현대카드의 보안 싱크홀이 실제 상황으로 빚어질 위기에 처했다. 불특정 다수에 노출된 온라인 커뮤니티에 별다른 인증 절차 없이도 가족을 포함한 제3자 명의 카드 등록이 가능하다는 다수의 글이 우후죽순 격으로 오르고 있다. 

보안 리스크에 사실상 속수무책인데도 현대카드는 정태영 부회장의 야심작이라는 의미의 애플페이 홍보에만 열을 올리는 모습이다. 현대카드뿐 아니라 애플코리아도 마땅한 해결책을 내놓지 않은 채 하세월을 보내는 것으로 드러나 빈축을 사고 있다.

17일 본지 취재 결과 본인 애플 기기에서의 제3자 명의 카드 등록이 무난히 가능한 것으로 확인됐다. 해당 카드를 탑재한 아이폰은 서울 시내 애플페이 가맹점에서 여러 차례 정상 결제가 이뤄졌다. 보안상 리스크를 제기할 수 있는 핵심은 '휴대폰 점유인증(MO인증)'의 허점이다.

MO인증은 이용자가 자기 기기에서 일회용 인증문자를 카드사로 수신해 스마트폰 소유자임을 증명하는 방식인데, 이 과정을 의도적으로 실패하면 본인 애플 기기에서 타인 카드 등록이 문제 없이 가능해진다. 현대카드가 MO인증 실패 시 자동으로 이어지는 ARS 인증 절차를 폐지했으나 역부족이라는 지적이 나오는 이유다.  [관련기사 : 본지 4월 27일자 "애플페이 독점 현대카드, 이제야 타인명의 차단…금감원 입김에 몸사리기"]

본지 보도 직후 이뤄진 대응 방안이라는 점에서 이목이 쏠렸으나 현재까지도 소셜미디어와 온라인 커뮤니티에는 ARS 절차가 없어도 인증에 문제가 없다는 내용의 상당수 글이 애플페이 이용자를 현혹하는 중이다.

이런 가운데 여러 아이폰에서 1개 현대카드가 중복 등록되는 오류가 추가로 파악돼 보안 논란을 가중하고 있다. 동일한 카드임에도 각기 다른 기기에서 고유한 애플페이 번호가 부여되는 것은 물론, 이 기기들에서 동시다발적으로 결제가 전개되는 동안 이상금융거래탐지시스템(FDS)은 작동하지 않고 있다.

취재진의 지속한 문제 제기에도 현대카드와 애플코리아 측은 요지부동이다. 수일에 걸쳐 해명을 요구했으나 양 측 모두 무대응으로 일관하고 있다. 특히 애플코리아는 사내 보안을 중시하는 미국 애플 본사 지침에 따라 의견을 함부로 꺼내기 어려우리란 추측만 무성할 뿐이다.

이를 두고 관련 업계에서는 애플의 경우 국내 다른 정보통신(IT)회사와 달리 관계자 해명을 내지 않는다며 함부로 발언했다간 애플 측에서 어떤 인사 불이익을 가할지 모른다고 전했다. 페이업계 한 관계자는 "애플 본사 측에서 꿈쩍도 안 하는데 애플코리아나 현대카드나 어떤 후속 액션을 취하겠냐"며 금융당국의 개선 가이드라인이 선행돼야 한다고 강조했다.

금융당국은 잇달아 불거지는 현대카드 보안 이슈를 중점적으로 살펴볼 예정이라고 경고했다. 국내 페이시장을 선점한 삼성페이에 맞서 현대카드와 애플의 합작품인 애플페이 영업 파이가 점차 확대되는 동시에 보안 리스크도 계속 불거질 수 있다는 판단 때문이다. 금감원 관계자는 "(ARS 인증을 거치지 않아도 된다는 점에서) 이전과 다른 경우로 보인다. 살펴볼 것"이라고 밝혔다.

한편 미국 본토에서는 애플페이의 허술한 본인 인증 실태가 사회적 의제로 떠오른 바 있다. 월스트리트저널 등 미국 주요 매체가 애플페이의 소홀한 본인 인증 절차를 겨냥, 해당 기술이 금융범죄에 악용될 가능성이 있다고 보도한 점이 방증한다. 이 같은 문제 제기는 미 간편결제 전문가들을 중심으로 실물 카드에 비해 애플페이 도용 사기 건수가 많다는 지적에서 비롯됐다.