중국인이 한국인인 척 티켓팅… 본인인증 허점 노려

본인인증 우회해 한국인처럼 예매
한국인 인증한 계정 판매하기도
자체 점검 체크리스트 ‘무용지물’

중국 사이트에서 판매되고 있는 국내 티켓 사이트 한국 계정. 연합뉴스

중국인들이 인터파크 티켓 온라인 본인인증 서비스의 취약점을 악용하거나 한국 계정을 사들여 한국인인 척 티켓팅을 하는 사례가 발생했다. 한국인으로 인증한 계정을 판매하는 업체도 등장했다.

인터파크는 티켓팅 과열, 부정 예매를 방지하기 위해 내국인과 외국인 계정을 분리해 운영하고 있다. 하지만 본인 확인 절차가 제대로 작동하지 않아 해외인 중국에서도 내국인처럼 가입할 수 있었던 것으로 나타났다..

10일 국회 과학기술정보통신위원회 소속 더불어민주당 이훈기 의원은 한국인터넷진흥원(KISA) 국정감사에서 “중국 암표팔이 업자가 한국인 인증 계정을 450∼650위안(약 9만~12만원)에 불법 거래하고 중국에서 국내 티켓 예매 사이트에 접속해 표를 사들이고 있다”며 문제를 제기했다.

거래된 계정은 치열한 매표 경쟁을 뚫는 데 사용되는 것으로 보인다. 지난 8월 내국인을 대상으로 한 인터파크 예매에서 일부 중국인이 본인확인 서비스 ‘패스(PASS)’를 우회해 한국인 명의로 예매를 시도한 것으로 파악됐다.

이 의원은 “KISA는 지난 8월 관련 자료를 요구하기 전까지 이런 상황을 인지조차 하지 못했다”고 비판했다.

인터파크 티켓은 방송통신위원회(방통위)와 KISA의 웹사이트 취약점 자체점검 체크리스트를 준수했음에도 사고가 난 것으로 알려졌다.

방통위는 일부 웹사이트에서 본인 확인 결과 정보를 안전하게 처리하지 않아 정보를 위·변조할 가능성이 있다고 판단해 자체점검 체크리스트를 제시했지만 강제성이나 법적 근거가 없었다.

지난해 3월 본인확인 서비스 이용기관 2만3633곳을 대상으로 실시한 취약점 자체점검에 대한 회신율은 21.8%에 그쳤다.

이번에 문제가 발생한 인터파크 티켓은 몇 안 되는 회신 기관 중 한 곳이었다. 인터파크 티켓은 웹사이트 본인확인 취약점 자체점검 12개 항목 모두 ‘검토했다’고 답했다.

이 의원은 “인터파크 티켓 사이트는 자체 점검 체크리스트 결과 문제없다고 회신했는데 내용이 거짓이었던 셈”이라며 “2만3000개가 넘는 본인인증 관련 기관을 대상으로 체크리스트 점검·이행을 강제하는 체계가 필요하다”고 강조했다.

KISA는 인터파크 티켓이 웹페이지의 통신 메시지를 암호화하지 않아 중국인이 본인 확인 절차를 통과할 수 있었던 것으로 보고 있다. 인증 ‘실패’ 메시지를 ‘성공’ 메시지로 위·변조할 수 있다는 점을 중국 해커가 노렸다는 얘기다.

대부분 웹사이트는 몇 곳의 보안업체를 통해 본인확인 서비스를 구축·운영하고 있다. 보안 사고를 예방하기 위해서는 패스와 보안업체, 인터파크가 제때 업데이트를 진행해야 한다.

인터파크 티켓 측은 “예매가 끝나면 정상적인 예매인지 검증 작업을 거치는데 이 과정에서 문제가 있다는 사실을 확인하고 조치를 취했다”며 “정부의 체크리스트를 모두 이행했고 패스에서 준 가이드대로 설계가 돼 있으며 현재 문제점은 모두 보완한 상태”라고 해명했다.

방통위와 KISA는 사고 재발 방지를 위해 본인확인 서비스 이용기관 취약점 보안 가이드 준수 여부를 재확인하고, 타인 명의 회원가입이 불가하도록 본인확인 서비스 통합모듈을 배포할 방침이다. 정보통신망법 하위법령 제·개정을 통해서도 대응할 계획이다.

이 의원은 “자체 점검에서는 거짓으로 보고할 수 있는 우려도 있어 점검에서 그치는 게 아니라 실제 이행했는지 확인할 수 있는 체계적인 시스템을 구축해야 한다”고 말했다.

이가림 인턴기자 onlinenews1@kmib.co.kr

GoodNews paper ⓒ 국민일보(www.kmib.co.kr), 무단전재 및 수집, 재배포 및 AI학습 이용 금지