지난 16일 서울시 강북구 미아동에서 올해초 온라인 결제 취소절차 취약점 2개를 이용해 총 840여 회에 걸쳐 결제 승인 후 허위 취소를 반복하는 방법으로 약 7천여 만원을 갈취한 혐의로 명문대 컴퓨터공학과 출신 6년 경력의 프로그래머가 경찰에 의해 검거됐다.
 
이번 범행을 모의한 2명은 국내 프리랜서 프로그래머 A씨와 중국인 프로그래머 B씨다. , A씨는 B씨에게 온라인결제 취약점을 제공하면 일정 대가를 지급받기로 공모한 뒤, 컴퓨터와 온라인 가맹점간의 송ㆍ수신되는 통신정보를 분석해, 온라인 결제 과정에서 ‘결제대행사에서는 결제내역이 취소되지만 가맹점에서는 취소되지 않는 취약점 2개를 알아낸 뒤 이를 중국인 B씨에게 알려주고 그 대가로 700여 만원을 지급받았다.
 
B씨는 올해 1월～3월 입수한 취약점을 이용, 총 840여 회에 걸쳐 ‘결제 승인 후 허위 취소’를 반복하는 방법으로 약 7천여 만원을 편취한 것이다.
 
이번 사건의 특징은 온라인결제 취소절차의 취약점을 범죄에 이용했다는 점이다. 결제 승인 이후, 취소시 결제대행사가 승인 가맹점과 취소 요청하는 가맹점이 동일한지 여부를 비교하지 않는 취약점을 이용한 것이다.
 
결제 승인 이후, 결제시 전송했던 정보를 수정ㆍ변조해 재전송하면 결제대행사에는 ‘취소’ 처리되지만 가맹점에는 ‘취소’ 처리되지 않는 취약점이 존재했던 것.
 
피의자는 결제대행사의 홈페이지에 게시된 설치매뉴얼을 정밀 분석해 결제 절차의 취약점을 추측했다. 결제시스템 해킹 없이 통신정보 분석용 프로그램을 이용하고 오직 자신의 컴퓨터와 인터넷 가맹점 사이의 통신정보를 분석해 취약점을 파악한 것이다.
 
이들은 구글 검색을 통해 알아낸 제3의 가맹점 서버의 웹페이지를 통해 허위 결제 취소정보를 전송하는 방법으로 범죄를 저지르는 등 신용카드 결제 등 온라인 결제 수단과 상관 없이 범죄에 이용될 수 있는 주요 취약점을 이용한 것이다.
 
경찰은 관계기관 대책회의를 통해 온라인결제의 기술적·절차적 취약점을 설명하고 시급히 보완해 줄 것을 당부하는 한편, 중국인 공범을 검거하기 위해 중국 관계당국과 공조수사를 진행할 예정이라고 전했다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com