게임 아이템 결제 ‘이중 인증’ 거쳐야 가능

5월부터… 소액땐 ‘공인-문자’중 선택… 모바일 신용카드 결제도 인증 의무화

5월부터 온라인 게임 사이트에서 30만 원 이상을 결제하려면 공인인증서 인증과 휴대전화 문자메시지 인증을 동시에 받아야 한다. 또 스마트폰 상에서 신용카드로 쇼핑을 하려면 공인인증서나 문자메시지를 통한 인증을 거쳐야 한다.

금융위원회와 금융감독원은 이런 내용을 담은 ‘온라인결제 보안강화 종합대책’을 8일 발표했다. 이번 대책은 인증 절차를 까다롭게 만들어 해킹 피해를 줄이려는 취지다. 다만 근본 대책으로는 한계가 있는 데다 소비자 불편이 커질 것으로 보여 논란이 예상된다.

금융당국은 해킹을 통한 카드결제 피해가 온라인 게임 사이트에 집중된 점에 착안해 게임 사이트 결제인증시스템을 강화했다. 5월부터 게임 사이트에서 30만 원 이상 결제하려면 공인인증서와 휴대전화 인증을 모두 거쳐야 한다. 30만 원 미만 소액결제를 할 때도 둘 중 하나를 선택해야 한다. 이제까지는 안전결제(ISP) 인증서와 카드번호, 비밀번호 등만 필요했지만 앞으로는 결제 단계를 하나 더 거치게 됐다.

이번 조치는 지난해 11월 2∼6일 BC카드와 KB국민카드의 소액결제체계인 안전결제(ISP)와 안심클릭을 이용하는 고객 200여 명의 정보가 무단 유출된 것이 계기가 됐다. 당시 범인들은 해킹한 정보로 넥슨 등 온라인 게임사이트에서 결제해 1억7000여만 원의 피해를 입혔다.

모바일 결제에 따른 위험이 커지자 모바일 결제서비스 인증 강화대책도 마련했다. 5월부터 스마트폰 등 모바일에서 신용카드 온라인 결제를 하려면 공인인증서 인증 또는 휴대전화 문자 인증을 반드시 받아야 한다. 지금까지는 카드번호, 비밀번호 등만 알면 결제를 할 수 있었다.

4분기(10∼12월)부터는 ‘모바일단말기 지정제’를 시작한다. 지금은 스마트폰에 공인인증서를 내려받으면 모바일뱅킹이나 주식거래를 할 수 있었지만, 10월쯤이면 이용자가 금융기관에 미리 스마트폰 등을 등록해야만 금융거래를 할 수 있다.

금감원 관계자는 “지난해 온라인결제 해킹사건은 결제시스템 자체가 해킹당한 게 아니라 PC에 침입해 얻은 카드정보로 부정결제된 것”이라며 “본인인증을 강화해 PC에서 민감한 개인금융정보가 새나가지 않도록 할 것”이라고 말했다.

이번 조치가 온라인결제 보안을 위한 근본 대책으로 미흡하다는 지적이 나온다. 공인인증서 자체가 보안에 취약하고 복제가 가능하다는 점이 지적된다. 김기창 고려대 법학전문대학원 교수는 “PC에 보관된 공인인증서는 대량 유출될 수 있고 암호도 손쉽게 확보할 수 있는데 당국이 인증서에만 집착하고 있다”고 지적했다.

이상훈 기자 january@donga.com