20일 카드업계에 따르면, A카드의 'A페이', B카드의 'B페이', C카드의 'C페이' 등 간편결제 앱은 QR코드·바코드 화면 캡처 방지 시스템이 적용돼 있지 않아 결제 화면 캡처가 가능한 것으로 나타났다. 카드사 앱에서 캡처된 QR코드·바코드 화면 사진을 편의점에 있는 바코드 인식기에 갖다 대면 일반 신용카드처럼 바로 대금이 결제된다.
결제유효시간인 3분 안에만 사용하면 변조된 캡처 사진을 통해 손쉽게 금융 결제가 가능한 셈이다. 또 화면 캡처가 아닌, 악성 앱을 설치해 화면에 노출된 정보를 사용할 경우 대형 금융사고로 이어질 위험성도 거론되고 있다.
QR코드·바코드 결제란 상점의 리더기에 바코드나 QR코드를 스캔해 결제하는 시스템이다. 문자 저장량이 많고 스마트폰으로 간단히 사용할 수 있어 금융뿐만 아닌 제조·유통·물류·서비스 등 여러 분야에서 쓰이고 있다. 다만 모바일 기반이다 보니 복제, 명의도용 등의 사고에 노출돼 있다.
반면, 카드사들은 개인정보는 물론 금융결제 정보까지 담긴 QR코드·바코드 화면 보안에 소홀한 실정이다.
블록체인 기술이 미비할 뿐만 아니라, 결제 유효 시간도 제각각이어서 금융사고 위험률을 높이고 있다.
카드사의 QR코드·바코드 결제 유효 시간도 보통 3~4분으로 일반결제의 2배 이상 길게 설정돼 있다. 별도 규정이 없어 카드사별로 기준이 다른 것이다.
A페이의 경우 약 1분의 결제 유효시간을 주는 반면 QR코드·바코드 결제 시 ‘원타임카드번호’가 생성된 이후 약 3분간의 결제 유효시간을 준다. C페이는 QR코드가 생성된 후 4분의 유효시간을 준다.
카드사 관계자는 "결제유효시간의 경우 QR 결제와 바코드 결제에 익숙하지 않은 노년층도 사용할 수 있도록 일반 결제보다 길게 설정해둔 것"이라고 설명했다.
이에 대해 보안업계 관계자는 "QR코드, 바코드 결제 화면의 캡처를 막아야 할 뿐만 아니라 노출 시간도 1분 이내로 줄여야 한다"며 "악성 앱을 통해 명의 등을 도용하거나 지문 등 생체 정보를 탈취할 의도가 있다면 4분이면 충분한 시간"이라고 말했다.
한편 금융감독원 관계자는 "카드사들도 한번 생성된 바코드 정보를 1회만 사용할 수 있도록 보안을 강화하고 있다"며 "다만 결제유효시간의 경우 금융권 각 분야 서비스 혁신의 활성화를 위해 각 금융사들이 자율적으로 설정할 수 있도록 하고 있다"고 설명했다.