"내 카드결제 정보가 캡처된다?"...보안 사각지대 놓인 카드사 페이결제

국내 카드사들이 출시한 전자지불결제 서비스가 QR코드·바코드 시스템 위·변조를 막기 위한 보안에 소홀한 것으로 나타났다. 대부분의 IT기업들이 개인정보 유출을 막기 위해 화면 캡처 및 저장 방지 시스템을 적용하고 블록체인을 통해 보안을 강화하고 하고 있는 것과는 반대되는 양상이다. 소비자들의 피해도 불가피하기 때문에 대책 마련이 시급하다.

20일 카드업계에 따르면, A카드의 'A페이', B카드의 'B페이', C카드의 'C페이' 등 간편결제 앱은 QR코드·바코드 화면 캡처 방지 시스템이 적용돼 있지 않아 결제 화면 캡처가 가능한 것으로 나타났다. 카드사 앱에서 캡처된 QR코드·바코드 화면 사진을 편의점에 있는 바코드 인식기에 갖다 대면 일반 신용카드처럼 바로 대금이 결제된다.

결제유효시간인 3분 안에만 사용하면 변조된 캡처 사진을 통해 손쉽게 금융 결제가 가능한 셈이다. 또 화면 캡처가 아닌, 악성 앱을 설치해 화면에 노출된 정보를 사용할 경우 대형 금융사고로 이어질 위험성도 거론되고 있다.

QR코드·바코드 결제란 상점의 리더기에 바코드나 QR코드를 스캔해 결제하는 시스템이다. 문자 저장량이 많고 스마트폰으로 간단히 사용할 수 있어 금융뿐만 아닌 제조·유통·물류·서비스 등 여러 분야에서 쓰이고 있다. 다만 모바일 기반이다 보니 복제, 명의도용 등의 사고에 노출돼 있다.

관련기사

• 신용카드 결제 단말기 업체, '카드 보안 우리 손으로'
• <카드사 정보유출> 안심하기 힘든 카드사 보안, 다시 도마위에

이 때문에 이동통신 업체나 빅테크 기업의 경우 블록체인 기술을 적용해 위·변조를 막고 있다. 이동통신 3사와 경찰청이 개발한 모바일 운전면허증의 경우도 바코드 시스템 도용을 방지하기 위해 화면에 미세하게 특정 이미지가 움직이는 애니메이션 효과를 적용했다. 캡처 화면을 도용할 경우 실시간으로 진위 여부를 확인할 수 있도록 보안 기술을 접목한 것이다.

반면, 카드사들은 개인정보는 물론 금융결제 정보까지 담긴 QR코드·바코드 화면 보안에 소홀한 실정이다.

블록체인 기술이 미비할 뿐만 아니라, 결제 유효 시간도 제각각이어서 금융사고 위험률을 높이고 있다.

카드사의 QR코드·바코드 결제 유효 시간도 보통 3~4분으로 일반결제의 2배 이상 길게 설정돼 있다. 별도 규정이 없어 카드사별로 기준이 다른 것이다.

A페이의 경우 약 1분의 결제 유효시간을 주는 반면 QR코드·바코드 결제 시 ‘원타임카드번호’가 생성된 이후 약 3분간의 결제 유효시간을 준다. C페이는 QR코드가 생성된 후 4분의 유효시간을 준다.

카드사 관계자는 "결제유효시간의 경우 QR 결제와 바코드 결제에 익숙하지 않은 노년층도 사용할 수 있도록 일반 결제보다 길게 설정해둔 것"이라고 설명했다.

이에 대해 보안업계 관계자는 "QR코드, 바코드 결제 화면의 캡처를 막아야 할 뿐만 아니라 노출 시간도 1분 이내로 줄여야 한다"며 "악성 앱을 통해 명의 등을 도용하거나 지문 등 생체 정보를 탈취할 의도가 있다면 4분이면 충분한 시간"이라고 말했다.

한편 금융감독원 관계자는 "카드사들도 한번 생성된 바코드 정보를 1회만 사용할 수 있도록 보안을 강화하고 있다"며 "다만 결제유효시간의 경우 금융권 각 분야 서비스 혁신의 활성화를 위해 각 금융사들이 자율적으로 설정할 수 있도록 하고 있다"고 설명했다.

 
 

신한페이판 [사진 = 신한카드 제공 ]