삼성전자의 모바일결제 ‘삼성페이’ 이용자의 신용카드 번호를 탈취해 도용할 수 있는 중대한 보안결함이 제기되며 논란이 확산되고 있다.

삼성전자는 갤럭시노트7에 홍채인식기능을 탑재하고 보안서비스 ‘녹스’를 발전시키는 등 스마트폰의 보안기능 강화를 꾸준히 강조하는 상황에서 곤혹스러운 처지에 놓일 수 있다.

전자전문매체 샘모바일은 8일 “해커들이 삼성페이를 통해 신용카드를 원격으로 도용할 수 있는 중대 보안결함이 나타났다”며 “삼성페이의 결제방식이 예상보다 안전하지 않은 것”이라고 보도했다.

보안전문가 살바도르 멘도자는 최근 미국 라스베가스에서 열린 세계 보안관련 컨퍼런스에서 삼성페이의 카드번호를 탈취할 수 있는 방법을 직접 시연했다.

그는 삼성전자 스마트폰이 삼성페이로 결제할 때 무선으로 카드단말기에 신호를 보내는 과정에서 특수장치로 카드번호를 읽어들여 이를 타인의 이메일로 보낼 수 있는 방법을 공개했다.

삼성페이는 보안을 위해 사용자의 원래 신용카드 번호가 아닌 임시 번호를 실시간으로 발급해 결제를 진행하는 방식으로 중간에 카드번호가 탈취돼도 소비자들이 피해를 받지 않도록 했다.

하지만 멘도자는 이 임시번호가 충분히 예측할 수 있는 방식으로 생성돼 마그네틱 카드 복제장치를 보유한 해커가 얼마든지 신용카드를 도용할 수 있다고 주장했다.

이에 대해 삼성전자는 “이번에 공개된 실험에는 특수한 장치가 여럿 사용돼 사용자가 실생활에서 이런 위험에 노출될 가능성은 적다”며 “임시번호가 30초 동안만 유효하고 금융업체들도 자체 감시 시스템을 갖추고 있어 충분히 차단할 수 있다”고 반박했다.

삼성전자는 스마트폰 신제품 ‘갤럭시노트7’ 출시행사에서 새로 탑재한 홍채인식 카메라의 본인인증 안전성과 자체 보안서비스 ‘녹스’를 통한 최고 수준의 보안능력을 강조했다.

하지만 이런 노력에도 삼성페이의 결제방식 자체에서 결함이 발견된 이번 사례와 같이 보안 취약점과 관련한 논란이 끊이지 않고 있어 상당한 부담을 안게 될 것으로 보인다.

삼성전자는 최근 사물인터넷 플랫폼 ‘스마트싱스’에서 해커가 원격으로 사용자의 가정용 잠금장치나 화재경보기 등을 조작할 수 있는 보안결함이 발견돼 도마 위에 올랐다.

지난해 삼성전자의 스마트냉장고 제품에서 사용자의 이메일 계정을 빼앗을 수 있는 취약점이 발견되고 삼성페이의 원래 개발사인 루프페이가 해커의 공격을 받는 등 논란이 끊이지 않았다.

삼성전자는 자체 보안서비스 ‘녹스’를 스마트폰과 사물인터넷에 모두 적용해 강화된 보안성을 바탕으로 핀테크와 보안솔루션 사업, 기업대상사업 등 신사업을 확대하는 데 주력하고 있다.

하지만 스마트폰과 사물인터넷 분야 최대 경쟁사인 애플이 장점으로 내세우는 보안능력에서 삼성전자가 여러 논란을 겪으며 꾸준히 비교당하는 것은 브랜드 이미지에 타격을 줄 수 있다.

시장조사기관 테크리서치프로가 기업용 모바일기기 사용자를 대상으로 한 설문조사결과 애플의 보안성에 우수한 평가를 내린 응답자는 51%로 나타났다. 블랙베리가 39%를 기록한 가운데 삼성전자는 30%에 그쳤다.

테크리서치프로는 “삼성전자가 기업용 모바일시장 진출을 확대하려면 애플과 맞설 보안능력을 갖추는 것이 가장 중요해질 것”이라며 “녹스를 꾸준히 발전시켜 격차를 좁혀야 한다”고 주문했다.

삼성전자 관계자는 “삼성페이 사용자의 결제정보가 안전하게 지켜질 수 있도록 항상 최선을 다하고 있다”며 “잠재적인 보안 취약점이 확인된다면 녹스를 통해 곧바로 문제를 해결할 것”이라고 말했다. [비즈니스포스트 김용원 기자]