전 카드사 시스템 동일…스미싱 피해 확대 우려금감원, 긴급조사 착수
  •  

    스마트폰에 애플리케이션을 설치·사용하는 앱카드의 인증 절차가 허술한 것으로 드러났다. 이에 카드사와 금융당국의 대책 마련이 시급하다는 지적이 제기되고 있다.

    12일 삼성카드에 따르면 지난 4월 스미싱 일당이 자사 앱카드를 이용하는 고객 53명을 대상으로 스미싱 문자를 발송하고 이를 클릭한 고객의 인증정보를 빼내 삼성카드 앱카드를 발급받은 후 환금성 사이트(게임머니, 모바일 상품권, 캐시충전 등)에서 6000여만원 상당의 부정매출을 발생시켰다.

    삼성카드는 FDS(카드부정사용방지시스템)을 통해 특정 인터넷 게임사이트 등에서 짧은시간에 여러건의 승인이 이뤄진 점을 발견, 우선 부정사용 사고임을 고객에게 알리고 사용제한 조치를 취했으며, 경찰과 금융당국에 자진 신고했다.

    삼성카드 측은 FDS에 포착되자 마자 신용카드 이용 중지와 재발급 조치 등을 취해 이번 사고로 금전적인 피해를 당한 고객은 없는 것으로 파악하고 있다고 설명했다.

    삼성카드 관계자는 "사고 이후 스마트폰에 대한 인증 절차를 강화하고 피해가 발생한 인터넷 게임사이트에 인증 제한 조치를 취했다"며 "이번 사고로 발생한 부정사용 매출은 회사가 전액  손실을 부담하고 고객에게는 청구를 하지 않기 때문에 고객의 금전적 손실은 없다"고 말했다.

    또 "이러한 사태를 대비해 카드사별로 부정사용방지시스템(FDS)이 존재하고 있지만, 사고를 100% 막기는 어렵다"며 "근본적인 해결방법은 출처를 알 수 없는 홈페이지 주소를 문자로 받으면 열지 말아야 한다"고 당부했다.

    이번 사고는 지난해 5월 앱카드가 도입된 이후 처음으로 발생한 금융사고다. 앱카드를 스마트폰에 설치할 때 공인인증서나 SMS만으로 인증하는 방식의 취약점이 드러난 것이다.

    사고가 발생한 앱형 모바일카드 시스템은 삼성카드 뿐만 아니라 전 카드사가 동일하기 때문에 타 카드사에서도 동일한 금융사고가 일어날 가능성이 커 문제가 심각하다. 

    금융감독원은 다른 카드사 앱카드에도 같은 피해사례가 있을 가능성이 있다고 보고 긴급조사에 착수했다.

    금감원 관계자는 "이에 따라 앞으로 앱카드를 설치할 때 모든 카드사에서 카드번호와 ARS 등을 통한 이중 인증 절차를 거쳐 본인 여부를 확인하는 방안 등을 검토 중"이라며 "사고가 일어난 경위에 대해서는 추정할 뿐이어서 12일 카드업계 임원들을 소집해 원인을 분석해 볼 계획"이라고 말했다.