보안전문가, 이미지 복제·계정탈취 등 지능화된 해킹 가능성 제기   
[보안뉴스 김경애] 홈플러스 모바일 상품권이 이용자 모르게 사용되는 사건이 발생해 관심이 집중되고 있다.




7일 홈플러스 측은 “모바일 상품권을 구매한 고객 일부가 사용하지도 않은 홈플러스 모바일 상품권이 무단으로 사용됐다는 내용의 피해신고가 접수됐다”며 “사실 파악을 위해 경찰에 수사의뢰했으며, 해킹 또는 전산 오류 등 여러 가지 가능성을 놓고 조사중”이라고 밝혔다.

지난 6일 온라인 구매정보 커뮤니티 온라인 게시판에는 모바일 상품권 잔액을 사용하지 않았음에도 불구하고, 적립 상품권 금액이 사용됐다는 글들이 올라왔다.

이와 관련 한 사용자는 “40만원 정도가 사라졌다”는 글을 올렸으며, 이 외에도 유사한 피해사례 글들이 게시판에 게재됐다. 피해자들은 GS샵, 티켓몬스터, 신한시크릿 등의 온라인 사이트에서 상품권을 구매했다고 밝혔다.

이처럼 피해자들이 하나둘씩 늘어나면서 해킹 의혹이 제기되고 있는 가운데 홈플러스 측에서는 대행업체에서 발행한 모바일 상품권 전산장애 가능성을 제기한 바 있다. 그러나 보안전문가들 사이에서는 해킹 가능성에 무게를 싣고 있다.

이와 같은 무단결제 사건은 사실 어제 오늘 일이 아니다. 이미 수년 전부터 수차례 발생했다. 지난해 9월에도 G마켓의 무단결제와 같은 유사사건이 발생하기도 했는데, 이러한 문제는 다양한 방식의 해킹 공격을 통해 발생했을 가능성이 높다는 지적이다.

현재 홈플러스 모바일 상품권은 홈플러스 공식 온라인몰을 비롯해 11번가, G마켓, 옥션 등과 같이 온라인 쇼핑몰에서 구입하거나 적립금을 충전해 사용할 수 있다. 게다가 홈플러스 모바일 상품권 잔액은 홈플러스 앱을 통해 스마트결제 등 다양하게 충전·결제될 수 있도록 하면서 이용자의 편의성을 살린 만큼 보안에 취약할 수 있다.





이에 본지는 홈플러스 모바일 상품권의 기술적인 측면에서의 해킹 가능성과 함께 현재 시중에 나와 있는 모바일 상품권의 보안취약성에 대해 보안전문가들의 의견을 들어봤다.




가능성 하나. 단순 전산 오류라고 하기엔 피해사례가 많아 
우선 홈플러스 측에서는 이번 사건과 관련해 전산장애 등의 단순 오류 가능성을 제기했다. 그러나 단순 전산장애라고 한다면, 중복 발행 가능성을 생각해 볼 수 있는데 피해자가 늘어나는 상황을 봐서는 중복발행 가능성이 낮다는 것. 한 모바일 보안 전문가는 “피해사례가 1~2건이라면 전산 착오나 중복 발행 등의 문제일 수 있지만 이번 사건은 동시다발적으로 여러 건의 피해사례가 발생했기 때문에 단순장애로 보기는 어렵다”며 “경찰이 수사에 착수한 정황만 보더라도 피해규모가 크거나 해킹 가능성이 높다. 특히 피해자가 발생했다는 것 자체가 중간에 누군가가 개입된 것으로, 로그인 계정과 개인정보 등을 탈취해 조합한 다음 제3자가 충분히 악용할 수 있다”고 말했다.

가능성 둘. 바코드 등 복사 쉬워 보안 취약
이어 현재 모바일 상품권은 특성상 모바일로 결제하고 보관할 수 있기 때문에 기술적으로 충분히 해킹이 가능하다는 게 보안전문가들의 공통된 의견이다. 일반적으로 많이 사용되고 있는 모바일 쿠폰, 기프트 쿠폰, 할인쿠폰의 대부분은 바코드나 등록번호를 등록할 수 있는 체계로 제작돼 있다. 그러나 이러한 모바일 상품권은 대부분 이미지라는 단순 데이터가 문자형식으로 전송되는 방식이기 때문에 쉽게 악용될 수 있다.

이와 관련 한 보안전문가는 “수사를 통해 사건의 전모가 드러나겠지만 이용자 스마트폰의 악성코드 감염여부, 홈플러스 모바일 상품권 발행 대행사 또는 협력사 해킹, 홈플러스 서버 해킹 등 기술적으로 다양한 해킹 가능성이 있다”며 “특히 모바일 상품권은 특성상 문자전송 형식으로 단순하게 이미지 데이터를 전송·저장할 수 있어 복사 또는 위·변조될 가능성이 높다”고 분석했다.  

더욱이 안드로이드 기반의 경우 다양한 보안 취약점과 악성앱이 기승을 부리고 있기 때문에 이용자도 모르게 악성코드에 감염돼 해킹됐을 확률도 상당히 높다는 것. 즉 스마트폰이 악성코드에 감염돼 개인정보와 바코드 등이 탈취됐을 가능성이 높다는 얘기다.

가능성 셋. 소액결제 필두로 공격방법 진화
현재 공격자 입장에서는 아이디어와의 싸움이기 때문에 모바일 뱅킹, 카드결제, 텔레뱅킹 등 다양한 공격경로에 대해 사전에 학습하고 연구하고 있다는 게 보안전문가들의 공통된 지적이다. 이와 관련 한 모바일 보안전문가는 “실시간으로 어떤 문자를 주고 받는지 원격기능의 악성코드를 삽입해 사용자의 정보를 훔쳐내는 한편, 대포통장 발급과 매개체 역할을 하는 심부름꾼을 고용하는 등 사이버범죄자들이 체계적이고 조직적으로 움직이고 있다”며 “인터넷을 통해 모바일 상품권을 구입하는 이용자가 많고, 각종 할인판매 등으로 온라인에서 다양하게 거래되고 있는 만큼 금전적 이득을 취하기 위한 해킹일 가능성이 매우 높다”고 설명했다.

해킹 수법의 경우도 소액결제를 시작으로 계정탈취, 온라인 포인트 무단 결제, 쿠폰 무단 도용, 동영상을 찍고 협박하는 몸캠피싱까지 그 공격범위가 매우 넓어지고 공격기법이 진화하고 있기 때문이다.
이와 함께 지난해 개인정보보호 실태점검에서 화두가 된 수탁사 관리 부실에 따른 문제도 제기된다. 이에 모바일 상품권 발행 대행사나 협력업체의 보안 취약성에 대해 면밀히 살펴봐야 하고, 본인인증 체계, 바코드 암호화 등 보안 취약점에 대한 검토도 다각도로 이루어져야 할 것으로 보인다.


[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>