최근 국내 인터넷 쇼핑몰, 해외직구 등을 통해 카드를 이용한 거래를 많이들 하고 계실겁니다.
"난 해외에서 특정 직구에 카드를 썼는데 도용되었다." "따라서, 그 사이트가 털렸다"라는 결론이 많이 나고 있는 것 같아요.
그런데 알고보면 그렇게 간단한 논리로만 설명되는 것은 아닙니다.
먼저 이슈가 되고 있는 하이네의 경우 SSL인증서를 사용하고 서버 소유자의 신원확인이 되었다는 문구가 있습니다.
이것은 한국에서 개인의 신원확인을 위해 공인인증서를 이용하여 은행거래를 하는 것과 같이 서버자체의 소유자의 신원이 변조되지 않았다는 것을 의미하고, 통신상(즉, 거래를 할때 카드번호 및 개인정보가 SSL 암호 통신 세션 사용)으로 안전하다는 의미입니다.
그리고, 악성 소프트웨어 검사를 통과하였다는 것은 서버용 백신 소프트웨어 등으로 현재 그 서버에 해당 백신 소프트웨어로 검출할 수 있는 악성 코드는 없다는 이야기입니다.
그럼. 소비자 입장에서 어떤 경우 카드의 도용이 일어날까요? 첫째는 사이트가 털리는 겁니다. 개인정보를 비롯하여 카드정보까지 서버에 저장된 정보가 해킹으로 털리는 경우지요. (이 경우는 서버 내의 기록파일인 Log파일 확인 및 CERT 담당자 들이 판별은 할 수 있습니다만 해커의 실력에 따라 그 증거를 잡기 힘든 경우도 있습니다. 그런데 이렇게 해킹하여 사이트를 터는 것은 카드 도용 정도를 위해서 이루어지는 경우는 없습니다. 10만 회원의 개인정보 판매 혹은 사이트 운영자에게 협박 정도가 더 가치가 있기 때문에 그걸 판매하면서 다른 사이트의 해킹을 시도하는 것이 경제적인 것으로 보통 여겨집니다.)
둘째는 서버용 백신 소프트웨어로 검출할 수 없는 악성 코드가 있는 경우입니다. 이것도 어떻게 보면 사이트가 털린 것과 비슷한 효과를 낼 수 있습니다. 카드정보만 가로채어 공격자에게 전달하고 그걸로 도용할 수 있으니까요.
셋째는 개인 PC가 악성코드에 감염되어 있을 경우입니다. 키로거나 여타 바이러스, 악성코드가 있는데 백신을 사용하지 않는 경우에는 사용자가 입력한 정보가 위에서 언급된 여러 보안 체계를 무시하고 바로 전달될 수 있습니다. 그리고, 개인이 깔아서 쓰는 백신 소프트웨어가 100% 이런 악성코드를 잡을 수도 없구요. 한때 문제가 된 한국에서 발생한 DDoS공격은 파일다운로드 사이트(주로 영화나 동영상 자료)의 클라이언트 프로그램 혹은 ActiveX 프로그램에 악성코드가 같이 심어져 있었는데 그것을 다운받아서 개인 PC에 설치한 것이 문제가 된 경우입니다. 이때는 파일다운로드 사이트가 털려서 그 피해가 다른 곳에 영향을 준 경우가 되겠습니다.
따라서 너무 많은 고려사항이 있기 때문에 어디의 잘못이라고 몰아가는 것은 기술적으로 논리적으로 문제가 있다는 것이고, 해외에서 카드를 사용할 때만 활성화해서 사용할 수 있는 방안을 마련하는 것이 좋다라는 의견에 동의합니다.
그리고, paypal 사용은 미국의 전자결재시스템의 보안이 뚫리면 업체에서 책임지게끔하는 형태라 비교적 믿을만 하다할 수 있습니다.(한국은 소비자에게 책임을 물리기 위해 소비자가 개인인증서를 사용하지요.....) 만약 털리면 어마어마한 과징금 및 피해보상을 해야하는 구조이니 paypal 사용도 괜찮다라고 생각합니다.
매우 주절주절 썼습니다만
한줄요약하면,
한 곳의 직구 사이트만 카드를 사용했다고 꼭 그 사이트가 털린 것은 아니다. 해외 사용시만 카드 활성화 혹은 Paypal 사용.
