月 990원 부가서비스 가입자 5명 210여만원 피해
"타인의 휴대폰 결제 사용을 막아주기 때문에 스미싱 등 결제사기로부터 안전하게 지켜드린다"던 KT의 유료 안심결제 서비스 가입자도 털렸다.
KT는 월 990원의 '휴대폰 안심결제' 부가서비스 가입자 5명이 총 210만7800원의 소액결제 피해를 봤다고 밝혔다. 유료 안심결제 서비스는 휴대폰 소액결제시 가입자가 설정한 핀(PIN)번호 4자리를 입력해야만 결제가 이뤄지는 시스템이어서 해커가 이를 어떻게 뚫었는지 관심이 쏠렸다.
25일 업계에 따르면 핀번호는 휴대폰에 저장되지 않고 암호화돼 이통사 DB(데이터베이스)에 저장된다. 암호화시 고객별 IV(초기화벡터) SALT(비밀번호에 추가되는 임의의 문자열) 값을 생성해 DB가 해킹되더라도 복호화(암호화된 데이터를 평문 형태로 되돌리는 것)를 할 수 없다. 즉 해커가 핀번호를 탈취해 소액결제했을 가능성은 낮다는 것이다.
문제의 허점은 서비스 운영 자체에 있었던 것으로 드러났다. 휴대폰 안심결제 서비스를 제공하는 한국결제인증이 6개 휴대폰 결제 PG(전자지급결제대행)사 중 A사를 제외한 5곳만 계약해서 발생한 문제로 파악됐다. A사를 통하는 휴대폰 소액결제엔 핀번호 인증절차가 뜨지 않아 무방비로 결제가 이뤄진 것이다. 다만 A사는 휴대폰 결제 PG사 중 후발주자로 점유율이 높지 않다.
이 서비스는 SK텔레콤도 제공한다. 하루평균 가입자가 5명 미만으로 이용하는 고객이 많지 않다고 밝혔으나 유료서비스가 제대로 역할을 하지 못하는 것은 마찬가지인 셈이다. LG유플러스는 초기에 제휴를 맺었다가 중단하고 자체 무료서비스를 제공한다.
SKT 관계자는 "990원 유료로 서비스 제공하지만 현재 7700명 수준으로 디마케팅 및 가입 중단을 시행하고 있다"며 "경쟁사보다 먼저 무료로 휴대폰결제 비밀번호서비스 제공 중"이라고 말했다.
