<대한금융신문=문혜정 기자>금융당국이 10일부터 신용카드 안전결제(ISP) 해킹으로 피해가 발생한 카드사의 현장점검을 시작으로, 내년 1월까지 온라인 결제서비스를 제공하는 모든 금융회사에 대한 보안실태 점검에 들어간다.

특히 이번 실태조사에서는 스마트폰과 태블릿PC 등 모바일 기기의 보안 취약점에 대해 집중 점검할 계획이다.

지난달 2일~6일 사이 유명 온라인 게임사이트에서 비씨카드와 국민카드 일부 회원들의 안전결제 인증서가 도용돼 무단결제가 이뤄졌다. 며칠 사이에 230개 카드에서 854건이 발생했으며 피해액만 1억 7200만원에 달한다.

ISP는 30만원 미만 신용카드 온라인 거래 시 지정한 인증서 비밀번호를 통해 소액결제를 하는 시스템으로 카드번호나 유효기간이 노출되는 안심결제서비스보다 더 안전하다는 평가를 받아왔다. 하지만 가장 신뢰했던 보안시스템이 중국 전문해커에 의해 허무하게 뚫린 것이다.

특히 ISP시스템의 경우 카드사뿐만 아닌 새마을금고와 우정사업본부, 수협 등 대형 금융기관에서도 사용하고 있어 앞으로 추가 피해가 우려되고 있다.

금융위원회 관계자는 “관계기관 및 민간 전문가를 망라하는 온라인 결제 보안강화 합동대응팀을 구성해 ISP·안심클릭 등을 포함한 온라인 결제 전반의 운영 실태를 철저히 점검하겠다”며 “앞으로 전반적인 비대면 온라인 거래의 보안 개선사항을 집중적으로 발굴해 개선해나갈 계획”이라고 말했다.

이번 합동대응팀은 금융위 사무처장을 팀장으로 행정안전부와 지식경제부, 방송통신위원회 등 관계부처, 민간 IT전문가, 업계 등을 망라해 구성한다. 대응팀은 실태점검반과 제도개선반 2개의 부서로 나눠 비대면 온라인 결제의 전반적인 운영실태를 철저히 점검할 방침이다.

실태점검반은 ISP 유출을 통한 피해발생 경위 파악을 비롯해 온라인결제시스템의 전반적인 운용실태와 해외사례를 검토할 예정이며, 제도개선반에서는 전자결제의 안전성 강화를 위한 잠재적 취약점 발굴 및 법·제도적 개선방안과 기술적 대안을 논의할 계획이다.

또한 내년 1분기 중 발표할 종합대책에서는 CEO가 매년 정보보호계획에 자필 서명하도록 하고 금융사고 우려가 높은 온라인 게임사이트에서는 공인인증서 사용을 의무화하는 방안을 검토할 방침이다.

한편 이번 ISP시스템 해킹으로 발생한 부정 매출에 대한 피해금액은 카드사가 모두 보상하게 된다.

금융당국은 이번 사고가 카드사 전산시스템의 문제가 아닌 개인의 PC보안관리 소홀인 것으로 파악했지만 여신금융법에 따라 전액 보상이 이뤄질 전망이다.

현행 여신금융법에는 ‘해킹, 전산장애, 내부자정보유출 등 부정한 방법으로 신용카드 등의 정보를 이용한 신용카드 사용에 따른 책임은 신용카드업자가 진다’고 명시돼 있다.