전자거래 실명 확인은 인증서·생체정보 등 발급 때만 적용

PG사 이용 가맹점은 카드사 이상거래탐지에서 적발 힘들어

(CG) [연합뉴스TV 제공]

(서울=연합뉴스) 김은경 기자 = 최근 갑자기 해외 결제로 29만9천원이 승인됐다는 신용카드 알림 문자를 받았다는 글들이 온라인에 잇따라 올라왔다.

이를 두고 피싱(금융사기)일 것이란 추정도 있었으나 확인 결과 도난된 카드 정보가 무단 사용된 금융 범죄인 것으로 나타났다.

파악된 피해만 800건이 넘는다. 피해자들이 받은 문자는 가맹점이 전자지급결제대행(PG)사인 '나이스정보통신'이었고, 사용 내역은 인공지능(AI) 서비스인 챗GPT의 고가 요금제 결제라는 공통점이 있었다.

챗GPT 운영사인 오픈AI와 이 회사의 국내 PG사인 나이스정보통신 등이 결제 취소와 환불 조치를 하면서 사태는 일단락됐다.

그러나 이번 일은 휴대전화 본인 인증 등 추가 인증 없이 카드 정보만으로 결제할 수 있었다는 점에서 의문이 제기됐다.

이처럼 카드 번호와 유효기간 등 일부 정보만으로 고액 결제가 이뤄진 배경과 피해를 줄일 수 있는 방법 등을 살펴봤다.

 [네이버 검색화면 캡처. 재판매 및 DB 금지]

◇ 추가 인증 없는 결제 방식의 빈틈…인증 절차 간단할수록 보안↓

오픈AI는 이번 사태가 해킹이 아닌 외부에 유출된 카드 정보로 타인이 무단 결제한 금융 범죄라고 밝혔다.

카드업계에 따르면 이달 들어 국내에서 결제된 챗GPT 프로 요금제(29만9천원)는 총 1천368건, 약 4억 원 규모다. 이 가운데 약 2억5천만 원 상당인 858건이 이번 부정 결제 의심 사례로 분류됐다.

구체적으로 나이스정보통신의 온라인 결제 서비스인 나이스페이를 경유해 오픈AI의 챗GPT를 직접 결제하는 방식으로 피해가 발생했다.

챗GPT(CG) [연합뉴스TV 제공]

이런 일이 발생할 수 있었던 것은 오픈AI 같은 해외 온라인 가맹점 중 상당수가 카드번호와 유효기간, 보안코드(CVC) 등 입력만으로 결제가 이뤄지기 때문이다. 추가 인증이 필요한 경우도 있지만 카드사와 발급은행 판단에 따라 조건부로 적용되는 구조다.

반면 국내 간편결제 서비스들은 카드 등록 뒤에도 지문, 패턴, 간편비밀번호 등 추가 인증 절차를 두고 있다.

전자금융감독규정은 전자금융거래에 사용되는 접근매체를 발급할 때 실명 확인을 거치도록 하고 있다. 그러나 이는 전자금융거래에 쓰이는 인증서·간편비밀번호·생체정보 등을 발급할 때 적용되는 것이다.

또 전자금융감독규정에는 금융회사 또는 전자금융업자가 전자금융거래의 종류·성격·위험 수준 등을 고려해 안전한 인증 방법을 사용해야 한다는 정도의 내용만 있어 직접 카드정보를 입력해 결제할 때 실명 확인이 의무는 아니다.

이에 따라 인증서나 간편비밀번호, 지문 등 이미 실명 확인을 거쳐 발급된 인증수단을 사용하는 결제는 대부분 별도 추가 확인 없이 처리된다.

다만 국내 카드사 앱카드나 네이버페이 등 페이류는 보안 강화를 위해 비밀번호·생체인증 등 추가 인증 절차를 자체적으로 운영하고 있다.

그러나 해외 가맹점들은 여전히 '카드번호·유효기간·보안코드' 입력 방식을 고수하는 경우가 많다.

나이스정보통신은 "국내법상 이런 방식에 휴대전화 본인 인증을 반드시 적용해야 하는 별도의 의무 규정이 있는 것은 아니다"라며 "결제 방식은 가맹점의 서비스 운영 방식과 글로벌 결제 환경 등을 종합적으로 고려해 적용되는 것"이라고 설명했다.

그러나 '카드번호·유효기간·보안코드'만 입력하는 방식은 결제 편의성은 높지만, 이번 같은 카드 정보 유출 상황에서는 추가 인증이 있는 방식보다 상대적으로 취약하다.

나이스정보통신은 이번 일을 계기로 오픈AI와 협의해 본인 인증을 적용하고자 테스트 및 개발 절차를 진행하고 있다고 밝혔다.

PG사 (PG) [강민지 제작] 일러스트

PG사를 통한 결제 구조도 피해 인지를 늦추는 요인으로 지목된다.

PG사는 카드사와 직접 계약하기 어려운 업체의 결제 업무를 중개하는 역할을 한다. 이에 PG사를 사용하는 업체를 이용하면 카드 명세서상 가맹점명이 대부분 PG사명으로 표기된다.

이번 도용 결제도 이용내역 등에 챗GPT나 오픈AI가 아닌 '나이스정보통신'으로 표기돼 챗GPT와 관련된 가맹점 결제로 피해를 본 사실을 고객이 직관적으로 확인하기 어려웠다.

이에 신고 등이 지연됐을 수 있다는 지적에 오픈AI와 나이스정보통신은 결제 시 나이스정보통신과 오픈AI 혹은 챗GPT가 함께 나오도록 가맹점명을 변경했다.

PG사 결제가 카드사 이상금융거래탐지시스템(FDS)에서 탐지가 늦어질 수 있다는 지적도 있다.

FDS는 결제 금액, 시간, 업종, 거래 패턴 등을 종합해 이상거래를 탐지하는 시스템인데, 실제 결제처 정보가 충분히 드러나지 않으면 특정 가맹점에서 반복되는 이상 징후를 파악하는 데 시간이 걸릴 수 있다는 것이다.

한 카드사 관계자는 "PG사를 통한 온라인 결제 시 PG사가 카드사에 해당 결제처가 어디인지 명확히 보내지 않는 경우가 있어 해당 가맹점의 이상 유무 파악이 늦어진다"며 "해외 결제는 고객의 사용 패턴을 상당히 보수적으로 잡기 때문에 부정사용 모니터링이 잘되는 편이나, 국내 정상 사용처(PG사)로 가맹점이 찍히게 되면 부정결제라 하더라도 현재로서는 잡아내기 어렵다"고 설명했다.

가맹점과 고객의 선택 영역이긴 하지만 편의성보다 보안을 더 중시할 경우 2차 인증이 있는 결제 수단을 택하는 것이 바람직하다고 금융당국은 설명했다. 카드 사용자도 해외 사이트를 이용할 때는 카드 번호를 직접 입력하는 방식보다는 2차 인증이 있는 각종 페이 서비스로 결제하는 게 낫다는 것이다.

금융당국 관계자는 "인증이 늘어날수록 고객의 불편이 커지니 회사마다 자사가 제공하는 서비스를 비교해 어느 정도의 인증까지 필요할지 선택하는 것"이라며 "인증절차가 간단하면 편의성은 높아지지만, 보안의 측면에선 인증이 추가되는 것이 유리하다"고 설명했다.

 카드 결제하는 모습[연합뉴스 자료사진]

◇ "나도 모르게 결제됐다면?"…피해 대응 및 예방 수칙

이번 같은 신용카드 도용이나 부정 사용으로 인한 피해는 여러 예방과 사후 조치를 통해 최소화할 수 있다.

여신금융협회 소비자지원센터의 '분실·도난으로 인한 피해 예방 및 대응방법'에 따르면 고객은 카드를 발급받는 즉시 카드 서명란에 본인이 직접 서명하고, 비밀번호를 철저히 관리해야 한다. 서명하지 않은 카드가 도난 후 사용됐을 경우 카드 소유자가 책임의 전부 또는 일부를 부담하게 될 수 있다.

해외 결제를 통해 부정 사용이 많이 일어나는 만큼 카드사에서 제공하는 '해외 원화결제(DCC) 차단' 및 '해외 이용 차단'·'해외 사용 안심 설정' 등 기능을 설정해놓는 것도 도움이 된다.

카드사 홈페이지 등을 통해 출입국정보 활용에 동의하면 입국 후 해외에서 발생하는 신용카드의 부정사용을 방지할 수 있다.

해외 유료 서비스를 이용할 때는 실제 카드 번호 대신, 카드사 앱에서 지원하는 일회용 혹은 정해진 금액만 결제되는 '가상 카드번호'를 발급받아 사용하는 방법도 있다.

다만 이번 도용 사태와 같이 국내 PG사를 통한 거래는 국내 결제로 잡혀 차단이 어렵다.

이번처럼 본인이 결제하지 않은 카드 이용 문자가 날라왔을 때는 즉시 카드사 서비스센터에 전화해 신고해야 한다. 신용카드의 경우 대부분 카드사가 '카드 분실 일괄신고서비스'에 가입된 한곳에 연락하면 타사 카드까지 한 번에 신고가 가능하다.

모바일 신용카드를 발급받은 스마트폰을 분실한 경우에도 신용카드와 동일하게 카드사에 분실신고를 해야 피해를 막을 수 있다.

카드의 분실·도난 시 신고 접수일로부터 60일 내 발생하는 부정 사용액에 대해 보상받을 수 있기 때문에 신고는 빠를수록 좋다.

 압수된 '카드 복제기' [구리경찰서 제공. 재판매 및 DB 금지]

카드사는 회원의 고의·과실이 있는 경우를 제외하고 대개 보상해준다.

그러나 분실·도난 신고 시점 이전에 발생한 50만원 초과 부정사용금액에 대해선 일정 보상처리수수료를 청구할 수 있다.

카드업계 관계자는 "이용하지 않은 온라인 결제가 발생했을 경우 즉시 카드를 정지하고 부정사용 신고를 해야 한다"며 "카드 승인번호와 거래내역을 확보해야 빠른 피해 보상이 가능하다"고 당부했다.

<<연합뉴스 팩트체크부는 팩트체크 소재에 대한 독자들의 제안을 받고 있습니다. 이메일(factcheck@yna.co.kr)로 제안해 주시면 됩니다.>>