"앞다퉈 내놓더니"⋯부정결제 통로 된 '이커머스 페이'

[아이뉴스24 박은경 기자] #서울에 거주하는 40대 직장인 A씨는 최근 황당한 경험을 했다. 사용하지도 않은 이커머스 플랫폼의 자체 간편결제 시스템을 통해 상품권 20만원이 결제됐다는 문자를 받았다. 알고 보니 A씨의 아이디와 비밀번호를 도용해 접속한 뒤, 해당 이커머스에 미리 등록된 카드로 결제를 진행한 이른바 '부정 결제' 사고였다. A씨는 "편리해서 등록해 둔 카드 정보가 오히려 내 자산을 노리는 통로가 될 줄은 몰랐다"며 해당 앱의 결제 수단을 모두 삭제했다.

A씨와 같은 부정 결제 사고가 잇따르면서 이커머스의 자체 간편결제 사업이 궁지에 몰렸다. 외부 전자지급결제대행사(PG)나 카드사 앱을 거치지 않고 플랫폼 내부에서 모든 결제 과정을 완결시켜 고객을 묶어두고 비용을 아껴주던 효자라 여겨졌는데, 이젠 보안의 약한 고리로 전락해버린 것이다.

24일 국회 정무위원회 소속 국민의힘 이양수 의원실이 금융감독원으로부터 제출받은 자료에 따르면 올해 1∼8월까지 간편결제 서비스에서 발생한 부정 결제 피해액은 2억2076만원으로 집계됐다. 이중 피해액의 86%가 지마켓의 '스마일페이'와 쿠팡의 '쿠팡페이' 등 이커머스 계열사의 자체 간편결제에서 발생했다. 건수로 봐도 이 기간에 발생한 50건의 피해 중 절반이 넘는 이커머스 자체 간편결제가 절반 이상(29건)을 차지한다.

원클릭 결제로 결제 편의성은 증대됐지만, 보안 시스템은 충분히 갖추지 못하면서 지급결제 산업의 리스크를 키우는 약한 고리가 됐다는 평가가 나오는 대목이다. 이커머스 업계가 수익성 제고를 위해 자체 결제 시스템을 공격적으로 확장하면서도, 보안에 있어서는 인식을 갖추지 못했기 때문으로 풀이된다.

쿠팡의 지난해 말 정보기술부문(IT) 예산 대비 정보보호 부문 투자 비중은 4.6%에 그치고, IT 인력 중 정보보호 전담 인력 비중은 6.9%에 그친다. 각각 전년 대비 약 1%포인트(p) 줄었다. 개인정보위험 관리는 연 3회, 개인정보를 보관하는 수탁사에 대한 점검은 연 1회에 그쳤다. 지마켓은 정보보호 예산을 확대했지만, 정보보호 인력 중 내부 전담 인력은 17명에 불과하다.

문제는 이러한 '투자 부족'이 부정 결제 피해로 직결될 수 있단 점이다. 쿠팡페이와 스마일페이 등도 자체 이상금융거래탐지시스템(FDS)를 가동 중이지만, 은행이나 카드사 같은 금융회사와 달리 구축이 법적 의무가 아니다 보니 정교함이 떨어진다는 지적이 적지 않다.

보안업계 관계자는 "해커들은 이커머스 FDS가 어떤 상품 코드에서 가장 취약하게 작동하는지를 찾아내 그 틈을 파고든다"며 "결제 편의성이라는 명분 아래 상품군별 리스크 관리를 소홀히 한 결과가 대규모 부정 결제로 이어지고 있는 것"이라고 지적했다. 가령 환금성이 높은 특정 상품군의 경우 추가 인증(2FA) 단계를 정교하게 설계해야 하지만, 결제 실패율을 낮추려는 운영상의 편의가 우선시되면서 보안 강도가 상대적으로 느슨하게 설정되는 식이다.

이커머스 업계도 자체 간편결제 서비스에 대한 리스크가 임계점에 도달하면서 비상이 걸렸다. 쿠팡은 최근 발생한 정보 유출 사고 이후 쿠팡페이의 FDS 전문 인력 상시 채용에 나서는 등 추가 피해 방지에 주력하고 있지만, 이미 금이 간 소비자 신뢰를 회복하기엔 역부족이라는 지적이다. 이에 따라 쿠팡이 내년부터 외부 가맹점으로 쿠팡페이의 사용처를 대폭 넓히려던 간편결제 상용화 사업 역시 보안성 검증 문제로 제동이 걸릴 가능성이 높아졌다.

보안업계 다른 관계자는 "이커머스의 간편결제가 소비자들의 일상에서 빠질 수 없는 축으로 성장한 만큼, 금융회사처럼 FDS 구축을 법적 의무화하고 사고 발생 시 배상 책임을 명확히 하는 제도적 뒷받침이 시급하다"며 "보안이 뒷받침되지 않은 '원클릭'의 편리함은 결국 소비자에게 독이 될 수밖에 없다"고 지적했다.