삼성전자와 애플 스마트폰의 잠금을 해제하지 않은 상태에서도 모바일결제 서비스에 접근해 카드결제를 시도하거나 돈을 빼낼 수 있는 보안결함이 발견됐다는 외국언론 보도가 나왔다.

경제전문지 포브스는 2일 러시아 보안업체 파지티브테크놀로지 소속 연구원이 공개한 스마트폰 보안결함 문제를 보도했다.

애플과 삼성전자 스마트폰에서 모두 금융앱에 접근해 마음만 먹으면 연계된 모바일결제 카드나 계좌의 돈을 빼낼 수 있는 중대한 결함이 발견됐다는 것이다.

해당 연구원은 포브스 편집자가 사용하는 아이폰을 빌려간 지 몇 분만에 그의 은행 계좌에 접근해 자금을 인출한 뒤 다시 돌려주는 방식으로 보안 문제를 증명했다.

아이폰 모바일결제서비스 ‘애플페이’에서 잠금을 해제하지 않고 편리하게 교통카드를 이용할 수 있는 기능을 통해 비밀번호를 모르는 상태에서도 자금을 인출할 수 있다는 것이다.

연구원은 비슷한 방식으로 교통수단뿐 아니라 모든 애플페이 가맹점에서 원하는 금액을 결제할 수 있는 결함도 이미 지난해 발견된 적이 있다고 밝혔다.

그는 삼성전자 스마트폰에서도 비슷한 교통카드 기능을 활용해 잠금 상태에서 돈을 빼낼 수 있는 기술을 시연했다. 아이폰보다 다소 오랜 시간이 걸렸지만 해커가 이를 악용해 모바일결제 서비스에 등록된 자금을 인출할 수 있었다.

이를 통해 해커가 인출할 수 있는 자금 규모는 이론상 무한대에 이르는 것으로 파악됐다.

이번에 공개된 결함은 해커가 직접 사용자 스마트폰 실물을 확보해야 하고 모바일결제 서비스에 특정한 회사 카드가 연계되어 있어야 한다는 점에서 어느 정도 한계가 있다.

한국에서는 아이폰에 애플페이가 지원되지 않고 삼성전자 스마트폰 해킹에 사용된 기능이 한국에도 똑같은 방식으로 구현되는 기술인지 알려지지 않았다.

다만 포브스는 이런 결함이 잠재적으로 큰 위험을 불러올 수 있다며 스마트폰 사용자들이 간편 교통카드 이용 기능을 비활성화해야 한다고 권고했다.

애플과 비자, 마스터카드 등 이번 결함과 관련된 회사들은 포브스를 통해 이런 결함이 실제 생활에서 재현되기는 쉽지 않다며 지속적으로 보안 강화에 힘쓰겠다는 입장을 내놓았다.

삼성전자는 포브스의 코멘트 요청에 응답하지 않았다. [비즈니스포스트 김용원 기자]