문자·ARS 뚫린 소액결제…정부 ‘추가 비번 설정’ 등 이중인증 의무화 검토

정부가 휴대폰 소액결제 인증 체계를 손본다. 문자나 전화(ARS) 인증만으로 결제가 가능했지만 이 방식은 보안에 한계가 있다는 판단이다. 이에 선택 사항에 머물렀던 이용자가 설정한 비밀번호 추가 입력이나 생체인증 등 이중 인증 절차를 의무화하는 방안을 검토한다.

16일 과학기술정보통신부에 따르면 통신과금서비스 운영에 관한 고시 개정이 추진된다. 지금까지는 문자나 전화(ARS) 인증만으로 결제가 가능했지만 이 방식만으로는 보안에 한계가 있다고 본 것이다.

휴대폰 소액결제는 온라인 쇼핑이나 게임, 문화상품권 구매 등 다양한 영역에서 활용된다. 이름, 생년월일 등 간단한 개인정보를 입력하면 본인인증 방식 중 문자 인증, ARS인증, 패스(PASS)앱 인증 중 선택하면 결제가 진행된다.

문자 인증은 결제 과정에서 휴대폰으로 전송된 번호를 입력하면 된다. ARS 인증은 휴대폰으로 음성 전화를 걸어와 “본인이 맞다면 숫자 1번을 누르라”는 식으로 확인한다. 두 경우 모두 휴대폰을 이용자가 갖고 있다는 사실을 전제로 인증한다.

문제는 중간에 인증 정보가 탈취될 위험이 있다는 것이다. 실제 이번 KT 사고도 문자·ARS 인증이 뚫린 것이 원인이었다.

패스 앱 인증은 구조가 다르다. 패스 앱에서 이용자가 사전에 설정한 비밀번호를 직접 입력해야 결제가 가능하다. 게다가 지문이나 얼굴 인식 같은 생체인증 방식까지 함께 설정할 수 있다. KT도 최근 무단 소액결제 사태 이후인 지난 12일부터 소액결제를 통한 상품권 결제 시 문자 또는 ARS 인증이 아닌 패스 앱을 통해서만 가능하도록 하고 있다.

이에 정부는 문자·ARS 인증과 관련한 인증 체계를 강화하는 방안을 검토하고 있다. 단순히 단말기 보유만을 근거로 결제가 진행되는 기존 절차에서 벗어나, 비밀번호 입력, 생체인증, 간편인증 등 추가적인 본인확인 단계를 거치도록 하는 방향이다.

현행 ‘통신과금서비스 운영에 관한 고시’에서는 추가로 설정하는 결제 비밀번호와 관련해 사업자가 이용 동의 과정에서 비밀번호 설정 여부를 물어야 하고, 이용자가 요구할 경우 설정할 수 있도록 돼 있다. 이는 이용자가 원할 때만 적용되는 선택 규정이다.

과기정통부는 이번 개정을 통해 이 선택적 구조를 일정 부분 의무화, 문자나 ARS 인증만으로는 결제를 진행할 수 없도록 하고 두 번째 단계의 본인 확인 절차를 거치도록 한다는 계획이다.

다만 모든 결제 건에 일률적으로 적용할 경우 이용자 불편 등도 야기할 수 있어 구체적인 적용 수준이나 방식은 충분한 의견수렴 과정을 거쳐 확정한다는 방침이다. 단순히 보안만 강화하면 이용자 편의성이 떨어질 수 있어서다.

과기정통부 관계자는 “이번 사태 이전부터 이용자 보호 강화 측면에서 고시 개정을 준비하고 있었다”며 “최근 KT 사태에서도 이같은 추가 비밀번호 인증 절차를 설정한 경우에는 사고를 피할 수 있었던 만큼 이같은 이중 인증 체계를 강제하는 방향을 검토하고 있다“고 설명했다.