■ 해커에 뚫린 알뜰폰 온라인 '본인 인증' 시스템 ... 이동통신 3사도 무방비였다!
알뜰폰 온라인으로 개통해보셨나요? 상담원과 전화하거나 직접 판매하지 않고 신분증 등만 있으면 5분 안에 가능하다고 홍보합니다. 실명 확인을 한 뒤 네이버나 카카오 전자서명, 신용카드, 휴대전화 본인 확인 앱 등을 거쳐 알뜰폰이 개통됩니다.
사업자 입장에서는 이 상품에 가입하고자 하는 사람이 홈페이지에 현재 접속해 개통 절차를 밟고 있는 사람과 같은지 확인해야 하는데 직접 확인할 수 없으니 그들의 정보가 있는 신용카드나 전자서명, 휴대전화 등을 활용해 이중으로 확인합니다.
이 과정에서 1단계 실명 확인과 2단계 본인 인증 과정에 입력한 내용이 달라도 휴대전화가 개통된다면 문제입니다.
서울지방경찰청이 비교적 간단한 해킹을 통해 이 2단계 인증 과정을 뚫은 보이스피싱 조직을 수사 중입니다. 1단계 인증 과정과 다른 정보를 입력했는데도 2단계 인증 과정을 통과했습니다. 이 조직의 구체적인 수법과 범행 규모, 각 알뜰폰 업체별 피해 규모는 확인하고 있습니다.
보안 전문가는 '웹 해킹'의 하나로 정보를 조작해 우회하는 공격 방식이 사용된 것 같다고 추정했습니다. 웹 해킹이란 웹사이트의 취약점을 공격하는 기술적 위협을 뜻합니다.
지난해 12월에는 대책 회의도 열렸습니다. 이 자리에는 과학기술정보통신부와 경찰, 민간 보안을 담당하는 한국인터넷진흥원, 알뜰폰 업체들, SKT·KT·LG유플러스 관계자들이 참석했습니다.
회의 결과, 과기부는 알뜰폰 온라인 영업 사이트 43곳에 대해 보완 조치를 지시했고, 점검은 현재도 진행 중입니다.
과기부는 이달 말까지 조치가 완료되지 않을 경우, 온라인 영업을 못 하도록 하는 '영업정지'란 초강수도 검토하고 있습니다. 그만큼 정부는 이 사안을 심각하게 인식하고 있습니다.
알뜰폰 사업자들은 어떻게 생각하고 있을까요. 한국알뜰통신사업자협회에 입장을 물어봤지만, 답변을 주지 않았습니다.
알뜰폰 사업자뿐만 아닙니다. SKT·KT·LG유플러스 이동통신 3사도 온라인 요금제 같은 비대면 서비스를 진행하고 있는데, 비슷한 보안 허점이 발견돼 보완 조치가 진행됐던 걸로 확인됐습니다. 과기부는 "정부 점검 결과 미흡한 점이 발견돼 보완을 지시했다."고 밝혔습니다.
[연관 기사]
[단독] 이통3사도 본인 인증 과정 허술했다…“긴급 점검”
https://news.kbs.co.kr/news/pc/view/view.do?ncd=7880085
[단독] “수사 착수·긴급 대책회의…조치 안 하면 영업 정지”
https://news.kbs.co.kr/news/pc/view/view.do?ncd=7878981
■ 전문가 "'본인 인증' 시스템, 전반 점검 필요"
염흥렬 순천향대 정보보호학과 교수는 "비대면 인증의 취약점을 막기 위해 두 가지 이상 본인 확인을 거치고 있다."라며 "취약점이 발견된 이상 보호 조치를 강화해야 한다."라고 설명했습니다.
이어, "알뜰폰 등 휴대전화는 일종의 지갑"이라며 "휴대전화를 타인 명의로 가입하게 되면 금융 계좌를 발급받거나 대출을 받을 수도 있다. 그 말은 2차, 3차 피해가 발생할 수 있다는 것이다."라고 강조했습니다.
지난해 숙박이나 교통 분야 비대면 쇼핑액이 20조 원이 넘어가는 상황. 비단, 알뜰폰 사업체나 이동통신 3사의 본인 인증 시스템뿐만 아니라 본인 인증 시스템 전반에 대한 점검이 시급하다고 전문가들은 지적합니다.
보안회사를 운영하는 왕효근 대표는 "비대면 거래라는 게 이미 신원이 확인된 고객에게 서비스하는 게 아니라 불특정 다수의 신원을 확인해야 하지 않냐"라며 "선량한 의도가 아닌 해커 등도 충분히 들어올 수 있는 구조"라고 설명했습니다. 그러면서 "기본적으로 업체가 홈페이지를 어떻게 구축했느냐, 보안 시스템이 어느 정도냐 등에 대해 점검할 필요가 있는 것 같다"고 말했습니다.
보안이 뚫렸을 때 감당해야 할 피해와 사회적 비용은 가늠하기조차 힘듭니다. '편의성과 보안성'이라는 두 마리 토끼를 어떻게 잡을지, 상품을 파는 기업과 제도를 만들고 보완해가는 정부가 함께 고민하고 방법을 찾아야 할 심각한 사안입니다.