[서울=뉴시스] 심지혜 기자 = 최근 KT에서 무단 소액결제 사고를 계기로 휴대전화 소액결제의 보안 취약성이 도마 위에 올랐다.

ARS(자동응답전화)와 문자메시지 등 기존 본인인증 방식이 뚫리면서 소비자들의 우려가 커지고 있다. 다만 이번 사고에서 추가 비밀번호를 설정한 경우에는 피해가 발생하지 않은 것으로 전해진다. 이동통신사들은 추가 비밀번호 설정 등 보안 강화 서비스를 제공하고 있어, 이를 적극 활용하는 방안이 권고된다.

현행 휴대전화 소액결제는 비교적 간단한 절차로 이뤄진다. 이름, 생년월일, 성별 등 기본적인 개인정보를 입력한 뒤 ARS, 문자메시지(SMS), 이통사 패스(PASS) 인증 중 하나를 거치면 결제가 완료된다.

이통사는 이러한 소액결제를 대행하는 역할을 하고 있다. 본인인증 방식으로 문자와 패스를 기본 제공하며, 전자결제대행업체(PG사)에 따라 ARS를 추가 인증 수단으로 제공하기도 한다. 하지만 이번 사고에서 드러났듯이 이러한 인증 체계만으로는 보안이 충분하지 않다는 지적이 나온다.

현재 이통3사의 소액결제 월 최대 한도는 100만원이다. 이번 사고로 상품권이 무단 결제의 주요 대상이 될 수 있다는 우려가 커지면서 KT와 LG유플러스는 상품권류 소액결제 한도를 10만원으로 대폭 낮췄다. 

◆ "비번 추가 입력…자체 ARS로 한번 더 확인"

이통사들은 인증 절차를 한 번 더 강화하는 부가서비스를 무료로 제공하고 있다.

SK텔레콤은 결제 시 사용자가 설정한 비밀번호를 한 번 더 입력하는 절차를 거치도록 하는 부가서비스를 제공한다. 이 서비스에 가입하면 휴대폰 결제 시 가입자가 설정한 6자리 비밀번호를 추가로 입력해야 결제가 진행된다. 보안을 위해 비밀번호를 5회 이상 잘못 입력하면 자동으로 잠금 상태로 변경되도록 했다.

KT는 'ARS안심인증' 서비스를 자체적으로 제공한다. 휴대폰 결제 인증 요청이 들어오면 KT가 자체적으로 ARS 인증을 한 번 더 진행하는 방식이다. 이 과정에서 KT는 소액결제가 진행된다는 문자메시지를 발송하고, 해당 번호로 ARS 전화를 걸어 소액결제 진행 사실을 안내한 뒤 가입자가 설정한 비밀번호를 입력하도록 한다.

다만 KT는 최근 사고 이후 상품권 결제에 한해서는 패스 본인인증만 허용하는 것으로 방식을 바꿨다.

LG유플러스는 별도의 부가서비스를 제공하지 않고 패스 인증을 권고하고 있다. 문자 인증을 이용할 경우에는 추가 비밀번호를 설정할 것을 권장한다.

◆ 정부, 생체인증 등 2차 인증 의무화 추진

정부도 보안 강화에 나섰다. 류제명 과학기술정보통신부 제2차관은 최근 진행된 국회 과학기술정보방송통신위원회 청문회에서 소액결제 과정에 2단계 보안 인증을 도입하겠다고 밝혔다.

류 차관은 "현재 소액결제 보안 인증 과정에 취약점이 있다"며 "생체 인증이나 결제 비밀번호 등 강화된 2단계 인증 조치를 하겠다"고 했다.

과기정통부는 휴대전화 본인인증에서 2차 인증을 의무화하는 내용의 '통신과금서비스 운영에 관한 고시' 개정을 추진 중이다. 개정안의 핵심은 기존 1차 인증에 더해 보안을 강화하기 위한 2차 인증을 추가하는 것이다.

검토 중인 2차 인증 수단으로는 이용자가 설정한 비밀번호 입력뿐 아니라 지문·얼굴 등의 생체 정보, 간편결제 등의 방안이 거론되고 있다. 이는 현재 일부 이통사가 부가서비스로 제공하는 추가 인증을 의무화하는 것으로, 법제화될 경우 소액결제 보안이 보다 강화될 것으로 보인다.

이밖에 소액결제를 이용하지 않는다면 아예 서비스를 차단하는 것도 방법이다. 이통사 고객센터나 앱을 통해 소액결제 기능 자체를 차단할 수 있다. 필요할 때만 일시적으로 해제해 사용하면 된다.


◎공감언론 뉴시스 siming@newsis.com