국내 한 전자결제업체가 인터넷 결제 취소와 관련된 취약점을 수년째 방치한 것으로 드러났다.
최근 인터넷 쇼핑몰 구축 관련 웹개발부에 근무하고 있는 송효진씨는 한 달 전에 결제 모듈을 점검하던 중 전자결제업체 K사의 프로그램에서 취약점을 발견했다고 본지에 제보했다. 그는 이 내용에 대해 여러 차례 해당 회사에 수정을 요청했으나 별다른 조치가 이뤄지지 않았다고도 언급했다.
K사의 결제모듈이 적용된 쇼핑몰 등에서 결제버튼을 누르면 액티브X 기반 플러그인이 설치된다. 문제는 해당 사이트에서 암호화 기능에 관여하는 'site_key' 값 없이도 카드결제승인을 취소할 수 있다는 점이다.
송씨는 사용자가 사이트를 나타내는'site_cd'값과 카드승인고유번호인 'tno'값만 알면 손쉽게 승인을 취소할 수 있게 된다고 밝혔다. 악의적인 사용자가 인터넷 쇼핑몰 사이트에 접속해 당일 대부분의 결제 내역을 취소하는 일이 가능하게 되는 것이다.
tno값은 결제 날짜 등이 표시되는 일련번호다. 이를테면 '20130808651200'과 같은 식으로 표시된다. 송씨는 site_cd값과 tno값은 손쉽게 알아낼 수 있다고 설명했다.
송씨에 따르면 LG 유플러스, 삼성 올앱, 나이스페이 등은 site_key값을 별도로 적용하고 있으나 해당 회사에서는 이 값이 없이도 승인을 취소할 수 있다. 그는 이렇게 될 경우 사용자가 온라인 캐시 등을 결제한 뒤에 이를 이용해 아이템을 구매하는 식으로 사용하고 나서 결제를 취소해도 확인할 방법이 없다고 지적했다.
관련기사
- 페이스북, 사진 맘대로 지우는 취약점2013.09.05
- 2년간 해킹 유출된 개인정보 6천만건2013.09.05
- 月 1만6천500원 소액결제, 66억원 사기 적발2013.09.05
- 안드로이드 전자지갑 보안취약점 나와2013.09.05
K사 기술지원담당자는 기존 몰ID(사이트 코드), 거래번호(tno) 등을 유추해낼 수 있고, 별도의 보안을 위해 site_key값을 구현할 수는 있으나 고객사쪽에서 잦은 오류 등을 이유로 이를 구현하지 않는 경우가 많다고 해명했다. 관련 기술을 확보하고 있는데 이에 대한 불편함을 호소하고 있는 쇼핑몰 등에서 기능을 빼달라고 요청하는 경우가 많다는 것이다.
이 담당자는 문제점에 대해서는 인지를 하고 있는 새로운 고객 상점들에게는 site_key값을 바로 적용하고, 기존 회사들에 대해서는 올해 말까지 이를 적용하도록 할 방침이라고 밝혔다.
