KT 소액결제 해킹에…보안업계 "모바일 신분증 이용 다중인증하면 안심"

[뉴스웍스=박광하 기자] 최근 발생한 KT 이동통신 서비스 이용자들의 소액결제 해킹 피해 사건이 휴대전화 기반 본인 인증 서비스의 근본적 취약점을 드러낸 것이란 지적이 나온다. 재발 방지를 위한 해결책으로 다중인증(MFA) 도입 필요성이 부각하고 있다.

지난달 말부터 경기 광명시와 서울 금천구 등 수도권 일대에서 KT 가입자 74명이 총 4000만원 이상의 소액결제 피해를 입었다. 피해자들은 새벽 시간대에 본인 의사와 관계없이 휴대전화로 모바일 상품권 구매나 교통카드 충전 등의 소액결제가 이뤄졌다고 신고했다.

사건은 기존 사이버 금융 범죄와 다른 특징을 보였다. 피해가 특정 지역과 시간대에 집중됐고, 피해자들이 악성 링크를 클릭하거나 의심스러운 애플리케이션을 설치한 정황이 전혀 발견되지 않았다. 정보호호 업계에서는 복제폰이나 중간자 공격(MITM) 등 고도의 해킹 기법이 사용됐을 가능성을 제기하고 있다.

현재 국내 여러 소액결제 시스템은 휴대전화 번호 기반의 인증 방식을 채택하고 있다. 이용자가 온라인에서 상품권을 구매하거나 결제할 때 휴대전화로 전송되는 인증번호로 본인 인증이 이뤄지는 구조다. 이런 방식은 해커가 휴대전화 정보나 통신망을 장악할 경우 쉽게 우회되는 게 취약점이다.

보안 전문가들은 MFA 도입이 시급하다고 목소리를 높이고 있다. MFA는 한 가지 인증 수단 외에 추가 인증 수단을 요구하는 보안 방식으로, 지식 요소(비밀번호), 소유 요소(휴대전화, 보안 토큰), 생체 요소(지문, 얼굴 인식) 중 둘 이상을 조합해 사용한다. 악의적인 공격자가 한 종류의 인증 방식을 뚫더라도 다른 인증 수단으로 보안을 유지할 수 있어 해킹 피해를 크게 줄일 수 있다.

정부가 운영하는 모바일 신분증을 본인 인증에 활용하자는 제안이 주목받고 있다. 현재 모바일 주민등록증, 모바일 운전면허증 등의 모바일 신분증이 발급되고 있다. 이들은 실물 신분증과 동일한 법적 효력을 갖고 있다. 모바일 신분증은 블록체인 기반 분산 ID(DID) 기술과 비대칭 암호화 기술을 활용해 최고 수준의 보안성을 확보했다. 개인 정보가 스마트폰에 암호화돼 저장되고, 필요한 정보만 선택적으로 제공할 수 있어 개인정보 보호에도 유리하다.

모바일 신분증을 본인 인증에 사용하면 휴대전화 인증과 모바일 신분증 인증을 결합한 이중 인증이 가능하다. 공격자가 휴대전화 정보를 탈취하더라도 정부 인증을 받은 모바일 신분증까지 위조하기는 매우 어렵기 때문에 보안성이 크게 향상될 수 있다.

KT는 사건 이후 소액결제 한도를 100만원에서 10만원으로 축소하고 비정상 패턴 감지를 강화하는 등 임시 조치를 시행했다. 하지만 근본적인 피해 방지를 위해서는 본인 인증 시스템 자체의 보안성을 높여야 한다는 지적이 계속되고 있다. 정보통신기술(ICT) 업계 관계자는 "소액결제 한도 축소로는 이용자도 불편을 겪고 통신사업자 입장에서도 매출에 불리할 수밖에 없다"며 "모바일 신분증 등을 활용한 MFA 도입, 정착이 근본적인 해결책"이라고 말했다.