[서울=뉴스핌] 박준호 기자 = 소셜커머스 티몬의 자체 간편결제 서비스인 티몬페이에 심각한 보안상 허점이 노출됐다.

고객의 아이디와 비밀번호가 유출될 경우 허술한 보안 인증 체계로 제3자가 고객 계좌와 연동된 티몬페이의 결제번호까지 변경할 수 있는 것으로 확인됐다.

실제 피해 사례도 잇따르고 있다. 온라인 커뮤니티에는 “티몬페이를 해킹 당했다. 누군가가 나의 계좌에서 수십만 원의 문화상품권을 결제했다”는 피해글이 올라오고 있다.

하지만 이 같은 명의도용 피해는 현재 티몬페이에서만 확인되고 있다. 티몬의 경우 제3자가 전화번호와 이름 등 회원 개인정보를 바꿀 수 있고 특히 결제 비밀번호 변경도 가능하다.

예컨대 제3자인 B가 A의 티몬 아이디와 비밀번호를 해킹해 A의 계정에 접속한다면 해당 계정의 결제 비밀번호 등 정보까지도 변경할 수 있는 것이다.

티몬 개인정보 수정란. 이름은 별다른 인증없이 수정이 가능하며 전화번호는 제3자 자신의 번호로 변경한 후 본인의 핸드폰을 통해 ARS인증이 가능하다.[사진=티몬 홈페이지 갈무리]

티몬 개인 정보창에서 전화번호를 변경하려면 ARS인증 절차를 거쳐야 한다. 그러나 B가 기존 A의 전화번호를 지우고 자신의 전화번호를 입력하면 제3자인 B명의의 휴대폰으로 ARS인증이 가능하다.

더욱이 회원 계정과 동일인이 아닌 타인의 이름으로 변경도 별도의 인증절차 없이 가능하다. 제 3자가 이름과 전화번호를 자신의 명의로 변경한다면 티몬페이의 결제번호도 수정할 수 있게 되는 셈이다.

티몬페이는 최초 1회 카드정보와 개인인증번호를 등록하면 공인인증서 등 별다른 인증 과정 없이 결제 비밀번호만 입력하면 결제가 완료된다.

현재 티몬 뿐 아니라 G마켓·옥션, 11번가 쿠팡, 위메프 등 이커머스 업체들 역시 간편결제 서비스를 운영하고 있는 만큼, 피해 사례가 확산될 지에 대한 우려가 제기되고 있다.

하지만 티몬페이 이외에 G마켓·옥션, 11번가나 쿠팡, 위메프의 경우 이 같은 방식의 간편결제 시스템 해킹은 불가능한 것으로 나타났다.

티몬 이용자가 모바일앱으로 상품을 구매하고 있다. [사진=티몬]

G마켓·옥션·11번가의 경우 계정 아이디와 비밀번호 등 개인정보가 유출됐다고 하더라도 이름과 전화번호 등을 변경하려면 기존 계정에 등록된 명의와 동일한 전화번호로 본인인증 절차를 거쳐야한다.

쿠팡과 위메프의 경우는 전화번호 변경은 티몬과 마찬가지로 제3자의 핸드폰으로도 인증이 가능했다. 그러나 이름을 변경하려면 최초로 등록된 전화번호로 인증절차를 거쳐야 한다.

쿠팡과 위메프는 제3자가 자신의 전화번호로 변경하더라도 회원 명을 수정할 수 없어 자체 간편결제 서비스인 로켓페이나 원더페이 결제번호까지 변경하는 것은 불가능한 셈이다.

티몬 관계자는 “현재 티몬페이로 상품권 결제 못하게 막아놨다”며 “우선적으로 계정에 등록된 명의와 동일한 본인인증 절차를 거쳐야 개인정보 변경이 가능하도록 보완책을 마련하고 있는 상황”이라고 말했다.

커뮤니티에서 티몬페이 명의도용에 따른 피해를 호소하고 있다.[사진=온라인커뮤니티 갈무리]

jun@newspim.com