인터넷쇼핑몰 결제시스템 '구멍' 해킹에 속수무책

인터넷 쇼핑몰 결제사이트에서 해킹프로그램을 이용해 결제정보를 마음대로 바꿔 물건을 산 뒤 되팔아 2억7000여만원을 챙긴 혐의로 구속된 이모(20)씨는 인터넷 쇼핑몰 결제시스템의 문제점을 악용했다.

실제로 상당수의 인터넷 쇼핑몰 사이트의 결제시스템은 보안에 취약한 것으로 나타났다.

18일 서울경찰청에 따르면 쇼핑몰사이트의 물건 주문 페이지는 암호화가 돼 있지 않다. 전문 해커가 아니더라도 쉽게 주문결제정보를 조작할 수 있는 해킹에 노출돼 있는 셈이다.

대부분의 쇼핑몰은 결제대행사(PG)의 결제모듈을 이용해 대금 결제를 받고 있다. PG사의 경우 쇼핑몰에서 결제정보가 전송되면 실제의 물품가격과 비교 없이 승인만 해주고 있다. 결제정보가 PG사로 전달되기 전 물품가격이 조작될 수 있다는 것이다.

인터넷 쇼핑몰은 수많은 주문건수를 일일이 대조하지 않아 실제로 이같은 피해를 즉시 인식하지 못하고 있다. 이상 유무가 발견되더라도 단순한 내부전산오류 등으로 판단하고 있는 것이 현실이다.

개인이 운영하는 인터넷쇼핑몰이 급증하고 있는 가운데 PG사는 실제의 물품가격과 결제금액을 체크해 주는 기능을 쇼핑몰측에 제공하지 않고 별도의 유료서비스 항목으로 제공하고 있다.

이에 대한 추가 비용을 줄이고자 상당수의 쇼핑몰은 이같은 가격정보 변조 여부를 확인하지 않고 있다.

전문가들은 쇼핑몰이 결제요청을 하는 페이지에서 개발자 도구나 웹 보안관련 툴이 작동하지 않도록 하는 등 근본적인 보안대책 수립이 필요하다고 지적했다.

경찰 관계자는 "쇼핑몰은 PG사로부터 건네받은 최종 결제금액과 주문시 등록된 상품의 결제금액과 비교해 다를 경우 자동 결제 취소 시스템 구축이 필요하다"며 "PG사의 경우 해당 기능을 기본적으로 제공하도록 제도 개선 검토도 마련돼야 한다"고 말했다.