금융감독원이 일부 온라인 쇼핑몰에서 카드 정보를 빼내는 피싱 정황이 확인되자 5일 소비자경보 ‘주의’ 단계를 발령했다. 해커가 정상 결제 화면과 거의 비슷한 가짜 페이지를 끼워 넣는 방식이어서 소비자가 이상 징후를 알아차리기 어렵고, 실제 카드 부정 사용으로 이어질 가능성도 커졌기 때문이다.
이번 조치는 금융보안원이 국내 일부 온라인 쇼핑몰을 대상으로 해킹·피싱 공격 정황을 포착해 금감원에 알리면서 이뤄졌다. 금감원에 따르면 지난달 29일 기준 전문 공격조직에 의해 탈취된 카드 정보는 모두 5천707건으로 집계됐다. 공격은 보안이 상대적으로 취약한 쇼핑몰의 결제 과정에 실제 화면과 유사한 피싱 페이지를 심는 방식으로 진행된 것으로 파악됐다.
문제의 피싱 페이지는 겉으로는 정상 결제 절차처럼 보이지만, 실제로는 필요 이상의 민감한 정보를 요구하는 점이 특징이다. 카드 정보는 물론 카드 비밀번호 전체 숫자나 주민등록번호처럼 정상적인 온라인 카드 결제에서 통상 요구되지 않는 정보까지 입력하게 만든다. 이후 해커는 한 차례 정보를 빼낸 뒤 ‘결제 오류’ 같은 안내창을 띄우고 다시 정상 결제 페이지로 넘어가 재입력을 유도하는 수법을 썼다. 소비자 입장에서는 최종 결제가 정상적으로 끝나기 때문에 중간에 피싱이 끼어들었다는 사실을 알아채기 쉽지 않다.
금감원은 온라인 쇼핑몰 등에서 결제할 때 주민등록번호 전체나 카드 비밀번호 네 자리 전부처럼 과도한 정보를 요구하면 즉시 의심하고 입력을 중단해야 한다고 당부했다. 온라인 쇼핑 뒤 정보 유출이나 카드정보 피싱이 의심되면 카드사에 바로 연락해 카드 사용 정지, 재발급, 비밀번호 변경을 신청하는 것이 우선이다. 같은 비밀번호를 다른 사이트에서도 함께 쓰고 있다면 추가 피해를 막기 위해 즉시 바꾸는 편이 안전하다. 정보 유출 이후 사기 이용이나 2차 피해가 의심되면 경찰 신고도 필요하다.
당국은 이미 유출된 정보가 불법 유통되거나 부정 결제에 쓰일 가능성을 우려하고 있다. 이에 따라 금융보안원은 탈취된 카드 정보를 카드사에 넘겨 이상 거래를 차단하도록 지원하고, 각 카드사는 해당 고객에게 개별 안내와 카드 재발급, 부정 결제 방지 조치를 진행하고 있다. 해킹 등 부정한 방법으로 빼낸 정보를 이용한 카드 부정 사용은 소비자에게 고의나 중대한 과실이 없으면 카드사 보상 대상이 될 수 있다. 이 같은 흐름은 전자상거래 보안 취약점이 소비자 피해로 곧바로 이어질 수 있다는 점을 다시 보여주는 만큼, 앞으로는 쇼핑몰 보안 점검과 결제 단계의 개인정보 최소 수집 원칙이 한층 더 강화될 가능성이 있다.
<저작권자 ⓒ TokenPost, 무단전재 및 재배포 금지>
많이 본 기사