카드정보만으로 결제 가능…추가 인증 없는 해외결제 구조 악용
PG사 명의 표기에 피해 인지 늦어져…FDS 탐지에도 한계
금융당국 “2차 인증 결제수단 활용·즉시 신고가 최선”

최근 챗GPT 고가 요금제인 월 29만9000원짜리 프로(Pro) 상품이 본인 동의 없이 결제되는 사례가 전국적으로 800건 넘게 발생하면서 해외 온라인 결제 시스템의 보안 취약성이 드러났다.

22일 금융권에 따르면 이달 국내에서 결제된 챗GPT 프로 요금제는 총 1368건, 약 4억원 규모다. 이 가운데 858건, 약 2억5000만원 상당이 카드정보 도용에 따른 부정 결제 의심 사례로 분류됐다.

피해자들은 카드 승인 문자에서 가맹점명이 챗GPT나 오픈AI가 아닌 전자지급결제대행(PG) 업체인 나이스정보통신으로 표시돼 결제 사실을 즉시 파악하지 못한 경우가 많았다.

오픈AI는 이번 사태가 시스템 해킹이 아니라 외부에 유출된 카드정보를 이용한 금융범죄라고 설명했다. 부정 결제는 나이스정보통신의 결제 서비스인 나이스페이를 통해 챗GPT를 직접 결제하는 과정에서 발생한 것으로 파악됐다.

문제는 해외 온라인 가맹점 상당수가 카드번호와 유효기간, 보안코드(CVC)만 입력하면 결제가 가능한 구조를 유지하고 있다는 점이다. 국내 간편결제 서비스들이 지문인증이나 비밀번호 입력 등 추가 인증 절차를 거치는 것과 대조적이다.

현행 전자금융감독규정은 인증서나 생체정보 등 접근매체 발급 시 실명 확인을 요구하고 있으나 카드정보 직접 입력 방식의 결제에 대해서는 별도의 본인 인증 의무를 두고 있지 않다. 이에 따라 카드정보가 유출될 경우 추가 인증 없이도 결제가 가능해 범죄에 악용될 수 있다는 지적이 나온다.

나이스정보통신은 이번 사고를 계기로 오픈AI와 협의해 본인 인증 절차 도입을 위한 테스트와 시스템 개발을 진행하고 있다고 밝혔다.

PG사를 통한 결제 구조 역시 피해 확산의 원인으로 지목된다. 카드 명세서에 실제 이용처가 아닌 PG사 이름이 표시되면서 소비자가 부정 결제를 즉시 알아채기 어렵고, 카드사의 이상금융거래탐지시스템(FDS)도 특정 가맹점에서 반복되는 이상 거래를 신속하게 파악하는 데 한계가 있다는 것이다.

카드업계는 해외 결제를 자주 이용하지 않는 소비자의 경우 해외 이용 차단, 해외 원화결제(DCC) 차단, 해외 사용 안심 설정 등을 활용하고, 해외 유료 서비스 결제 시에는 가상 카드번호나 2차 인증이 적용되는 간편결제 서비스를 이용하는 것이 피해 예방에 도움이 된다고 조언했다.

금융당국도 인증 절차가 늘어날수록 이용 편의성은 떨어지지만 보안성은 높아진다며 해외 사이트 이용 시 카드번호 직접 입력 방식보다 추가 인증이 적용되는 결제수단 사용을 권고했다.

전문가들은 본인이 사용하지 않은 카드 승인 문자를 받았을 경우 즉시 카드사에 신고하고 카드 사용을 정지해야 피해를 최소화할 수 있다고 강조했다. 카드 분실·도난 신고 후 60일 이내 발생한 부정 사용액은 원칙적으로 보상 대상이 되며, 카드 승인번호와 거래 내역을 확보하면 보상 절차를 보다 신속하게 진행할 수 있다.

/김진홍기자 kjh25@kbmaeil.com

김진홍 기자

kjh25@kbmaeil.com

• 챗GPT 29만9000원 무단결제 858건…해외결제 보안 허점 드러났다
• 美·이란 스위스 협상 돌입…호르무즈 재봉쇄가 최대 변수
• “일본군, 중일전쟁 당시 동물피 인체 수혈 실험”

다른기사 보기