종전 결제 정보 입력 후 문자메시지나 ARS 인증만으로 소액결제가 가능했던 구조적 취약점이 드러난 만큼 △결제 비밀번호 △PASS(패스) 인증 △ARS 확인 등 다중 인증을 병행하는 방향으로 강화됐다. 정부도 소액결제 이중인증 의무화를 적극 검토하고 있다.
다만 SK텔레콤, KT, LG유플러스 통신 3사 모두 강화된 인증 수단을 적용하려면 이용자가 직접 신청·설정해야 한다.
SK텔레콤은 ‘휴대폰결제 비밀번호’ 무료 부가서비스를 운영하고 있다. 이용자가 신청해 비밀번호를 등록하면 소액결제 시 '비밀번호 인증'을 추가로 거치게 된다. 비밀번호를 5회 이상 오입력하면 자동 잠금된다.
KT도 무료 부가서비스 ‘ARS안심인증’을 운영하고 있다. 결제 요청 시 ①ARS 안심 인증 문자를 받아 ②해당 번호로 통화해 ③사전에 설정한 비밀번호를 입력하는 과정이 추가됐다. KT는 지난 9월12일부터 상품권 결제에 한해 PASS 인증만 허용하는 등 결제 승인 보안 절차를 강화했다.
LG유플러스는 별도의 부가서비스는 없으나 결제 시 '문자 메시지 인증'을 사용할 경우 추가 비밀번호 설정을 의무화했다. 또한 'PASS 인증' 중심의 보안을 권장하고 있다.
LG유플러스 관계자는 “소액결제 시 인증 방식은 PASS앱, 문자(SMS), ARS 인증 등 세 가지로 나뉜다”며 “이 가운데 생체인증 기반 PASS 방식이 가장 높은 보안 수준을 갖춘 것으로 정부에서도 이를 권고하고 있다”고 말했다.
곽진 아주대학교 사이버보안학과 교수는 이번 해킹 사고를 계기로 통신 3사가 인증 절차를 강화한 것은 최소한의 조치라는 입장을 밝혔다. 곽 교수는 “인증 수단 강화는 단기적으로 효과가 있을 수 있지만 특정 인증 방식에만 의존하는 것은 장기적으로 바람직하지 않다”며 “인증 체계가 다양성과 유연성을 함께 갖춰야 실질적인 보안 효과를 낼 수 있다”고 덧붙였다.
[소비자가만드는신문=이범희 기자]
