일부 카드사들이 전자상거래 결제인증 과정에서 유효기간 18년을 넘긴 인증서를 사용하고 있다는 지적이 불거졌다. 금융보안원도 카드업계에 보안 취약점 점검을 주문했다. SKT 유심 해킹 사태 이후 금융권 결제 보안 체계 관련 경각심이 요구된다.
1일 관련 업계에 따르면 금융보안원은 최근 전체 카드사들에 '안심클릭' 관련 보안 점검 안내문을 발송했다. 일부 카드사가 전자상거래 인증 인프라에서 사용 중인 서버 인증서 유효기간이 20년 전에 만료됐다는 제보가 접수된데 따른 조치다.
인증서는 인터넷쇼핑몰 등 전자상거래 결제시 해당 사이트 결제 상황이 안전하고 신뢰할 수 있는 환경임을 입증하는 역할을 한다. 카드 정보 입력 등 결제 과정에서 사용자 정보를 보호하면서, 안전 거래를 진행하는 기반이다.
제보에 따르면 일부 카드사들이 사용 중인 인증 인프라 유효기간이 2007년 6월에 만료, 신뢰성이 의심된다는 주장이다. 취약한 인증서로 암호화 통신시 해킹 등으로 사용자 결제인증정보가 노출될 가능성이 존재한다는 것이다. 결제인증정보 노출은 사용자 개인정보와 신용정보 노출, 금전적 손실 등 문제를 유발하고 전체 시스템 신뢰성 저하 문제도 일으킬 수 있어 주의가 요구된다.
보안업계 관계자는 “인증서는 안전한 암호화 통신과 서버 신원 확인을 위한 용도로 사용돼 일반적으로 유효기간 만료 시에는 신뢰할 수 없는 사이트로 인지되고, 결제모듈 호출에 영향을 줄 수 있다”고 설명했다.
이번에 문제가 불거진 보안 취약점은 카드사나 전자지급결제대행업체(PG), 쇼핑몰 등이 직접 관리하지 않는 솔루션이라는 점에서 우려를 키운다. 해당 서비스를 이용 중인 카드사와 PG사에서는 문제점이 발생한 인증서가 자신의 결제 모듈과는 직접 관련이 없는 만큼 보안에 큰 문제가 없다는 입장이다. 설령 특정 인증서에서 문제가 발생했더라도 관리 권한이 다른 만큼 책임 역시 없다는 것이다.
금보원은 해당 인증서가 사용되는 결제솔루션을 제공한 업체에 사안을 확인 중인 것으로 알려졌다. 카드사들 역시 금보원 지시에 따라 보안 취약점을 점검하는 등 조치에 나섰다. 금보원은 취약점 점검 등 보고를 통해 문제 발견 시 후속 조치를 취할 방침이다.
일각에서는 이번 제보를 게기로 인증서와 보안 체계 관련 경각심을 일깨워야 한다는 목소리도 나온다. 고도화하고 있는 해킹 기술에 대비해 자체적인 점검과 대비뿐 아니라 인증 및 보안 체계 가이드라인 재점검 필요성이 제기된다.
업계 관계자는 “인증서뿐 아니라 다양한 보안 장치들로 안전하고 신뢰할 수 있는 결제 환경을 마련하고 있다”면서 “취약 점검을 통해 보안 중요성이 커지는 시기에 안전하고 적법한 운영을 이어갈 것”이라고 말했다.
정다은 기자 dandan@etnews.com, 류근일 기자 ryuryu@etnews.com
![[속보] 현대차, 러시아 판매 7개 차종 약 10만대 리콜 결정](https://www.tfmedia.co.kr/data/photos/20250522/art_17486732659163_23f9f1.png)
