완벽하고 깔끔한 '시스템 삼성'에 웬 일?
삼성카드가 앱카드(스마트폰 응용프로그램 형태의 모바일 카드) 발급 과정에서 휴대폰 본인 인증 절차를 매우 허술하게 운용한 것으로 확인됐다.
삼성카드는 최근 화재사고와 결제시스템 복구 과정에서도 보안 규정을 어긴 사실이 드러나는 등 관련 사고에 잇따라 노출되고 있다.
금융당국 관계자는 13일 “최근 앱카드 도용사고를 조사한 결과 앱카드를 출시한 6개 카드사 중 삼성카드만 일부 스마트폰 사용자에 대해 고객 전화번호 입력만으로 본인 인증을 해준 사실이 확인됐다”며 “철저히 조사해 삼성카드에 책임을 물을 것”이라고 밝혔다.
삼성카드는 지난달 중순 다른 사람의 앱카드를 사용한 부정 결제 정황을 발견하고 최근 경찰과 금융감독원에 신고했다. 삼성카드는 “ ‘스미싱’ 사기단 일당이 문자를 발송해 소비자 정보를 빼낸 뒤 카드사에 앱카드를 부정 신청한 신종 사기사건으로 파악됐다”고 설명했다.
이 때문에 삼성 앱카드 사용자 50여명이 명의를 도용당해 6000만원가량의 피해를 봤다.
스미싱은 엉뚱한 문자메시지를 보내 열어보게 한 뒤 악성코드를 심어 금융정보 등을 빼내는 일종의 스마트폰 해킹이다. 불특정 다수에 유포되는 스미싱의 특성에도 불구하고 삼성카드 고객만 피해를 입은 것이다.
금감원 조사 결과 삼성 갤럭시 등 구글 안드로이드 운영체제(OS)를 쓰는 스마트폰으로 삼성카드 앱카드를 신청하면 휴대전화 번호가 자동으로 전송되고, 카드 신청자와 휴대전화 개설자 실명이 일치해야 발급한다.
그러나 애플 아이폰은 휴대전화 번호 정보를 카드사에 자동 전송하지 못하도록 설계돼 있어, 삼성카드는 아이폰 고객이 앱카드를 신청할 때 본인이 직접 휴대전화 번호를 입력하도록 했다.
그 결과 사기범들은 타인 명의의 앱카드를 발급받으면서 자신의 휴대전화 번호를 인증용으로 입력해 삼성 앱카드를 설치할 수 있었고 이를 이용해 부정 결제를 벌였다.
금감원은 “삼성을 제외한 다른 카드사들은 아이폰 사용자에게 별도의 인증번호를 요구하는 등 앱카드 발급 관련 이중 보안시스템을 마련해둔 것으로 파악됐다”고 전했다.
삼성카드는 지난달 20일 삼성SDS 화재사고로 메인 결제서버가 멈추는 과정에서 관련 규정에 명시된 온라인·모바일용 보조 결제서버를 구축하지 않아 온라인·모바일 결제가 수일간 먹통이 됐다.
