[시사주간=조희경 기자] 2012년과 2014년 연이은 개인정보 대량유출로 전 국민을 불안의 공포 속으로 몰아넣었던 KT가 여전히 회원들의 결제정보 관리를 허술하게 관리하고 있어 제3의 개인정보 유출 위험성이 우려되고 있다.
 
지난달 4월 29일 집에만 머무르고 있었던 박씨. 그에게 느닷없이 한 통의 문자가 도착했다.
 
수신된 메시지에는 박 씨의 올레 멤버십 포인트가 CGV영화관에서 4000점이 차감됐다는 내용이었다.
 
집에만 있었던 그가 어떻게 CGV 영화관에서 올레 멤버십 포인트를 사용할 수 있었을까.
 
영문을 모르는 박 씨는 다음 날 KT고객센터에 문의했고, 해당 센터는 박 씨에게 “CGV영화관 매표소 직원이 박 씨가 아닌 다른 사람의 올레 멤버십 모바일 포인트를 결제하는 과정에서 바코드 번호 하나를 틀리게 입력해 박 씨의 포인트가 차감된 것”이라고 답변했다.
 
그러면서 해당 센터는 박 씨에게 “차감된 포인트는 돌려주겠다.”는 설명만을 덧붙여 박 씨는 아직까지도 도대체 상황이 어떻게 전개 된 것인지 도무지 이해를 못하고 있다.
 
더불어 박 씨의 올레 멤버십 결제정보를 사용한 CGV측 홍보담당 관계자도 <시사주간>에 “CJ 내부에서도 박 씨와 같은 피해를 경험한 사람이 있다”며 “재미있는 것은 KT가 그 사람에게 뭐라고 답변했냐면, “종종 발생하는 일이라 어쩔 수 없다. 차감된 포인트는 환불 처리해주겠다.”가 전부였다는 것이다”고 말했다. 

이와 관련 현재 인터넷을 비롯한 SNS상에서는 “올레 멤버십 포인트가 본인도 모르는 사이 결제가 됐다”는 피해 사례 글들이 계속적으로 업데이트 되고 있으며 피해를 봤다는 대부분의 이용자들은 “이거 도용 아닌가?”또는 “개인정보유출이다”는 등의 반응을 보이고 있다.
 
어떻게 타인의 결제정보가 모바일 바코드 숫자 입력만으로 사용될 수 있었을까.
 
시사주간이 확인한 바. KT 올레 멤버십은 천 육 백 만 명 회원의 결제정보를 바코드로 분류하기 위해 생성한 9자리의 고유식별넘버를 하나만 생성한 것이 아닌 여러 개의 식별넘버를 중복적으로 생성한 것으로 확인됐다.
 
때문에 16자리 숫자로 만든 바코드는 앞자리 고정숫자(FIX NUMBER) 6자리와 끝에 브릿지체크(Bridge check) 1자리를 제외한 나머지 9자리 숫자를 어떤 숫자를 입력하든 간에 타인의 결제정보가 사용될 수 있었던 것이다.
 
예컨대 바코드 앞자리 고정 6자리 숫자와 끝자리 브리지체크 숫자 1자리 숫자가 123456과 9라고 가정했을 때. 점원이 123456과 임의로 입력한 9자리 숫자와 끝자리 9만 입력하면 누구의 결제정보든 간에 사용될 수 있다. 이는 충분히 악용의 소지가 높을 뿐만 아니라, 또다시 KT회원의 개인정보가 관리소홀로 인해 유출될 수도 있음이다.
 
특히 모바일로 다운받은 올레 멤버쉽 바코드는 사용자의 액정크기에 따라 광학 스캐너 인식이 어렵다는 단점이 있어 이 같은 관리부주의는 더 많은 피해자를 양산하지 않기 위해서라도 빠른 개선이 시급한 상황이다.
 
아울러 이 같은 관리 소홀로 인해 계속적인 피해가 발생되고 있음에도 불구하고, KT 홍보담당 이선영 과장은 “바코드 숫자만으로 개인정보를 식별하기 어렵기 때문에 개선할 이유가 없다”는 입장을 보이고 있다.
 
관계당국의 더욱 철저한 관리감독이 절실한 시점이다. SW
 
chk@economicpost.co.kr

조희경 기자 다른기사 보기