“하나 더 묻는다”…정부, 소액결제 이중인증 의무화 논의

휴대폰 소액결제 인증 체계가 전면 재정비를 앞두고 있다. 문자나 전화(ARS) 인증만으로 결제가 가능한 현 시스템은 최근 보안 취약 지점이 노출되며 한계가 드러났다. 정부는 선택적이었던 추가 비밀번호, 생체인증 등 이중 인증(2단계 인증) 절차를 의무화하는 방향을 추진하며, 업계 전반에 보안강화 신호를 보내고 있다. IT 업계와 사용자 모두에게 ‘보안과 편의성’의 균형을 다시 묻는 변화의 분기점으로 받아들여진다.

과학기술정보통신부는 16일 통신과금서비스 운영에 관한 고시 개정안을 준비 중이라고 밝혔다. 온라인 쇼핑, 게임, 문화상품권 구매 등에서 이용되는 소액결제 시스템은 그간 이름, 생년월일 등 기본 정보를 입력한 뒤, 문자 인증이나 ARS 인증, 또는 별도의 인증앱(PASS 앱 등) 중 하나를 선택하는 방식이었다. 그러나 문자 인증은 휴대폰으로 전송된 번호를 입력하는, ARS 인증은 음성 안내에 따라 숫자를 누르는 절차로, 모두 휴대폰 소지 사실만으로 본인 확정이 이뤄지는 구조다.

문제는 인증 정보 탈취 위험이다. 실제 이번 KT 사고 역시 문자·ARS 인증 절차만을 노린 해킹으로, 이용자 피해가 발생했다. 반면 PASS 앱 인증 등은 사용자가 사전에 설정한 비밀번호 입력, 지문·얼굴 등 생체 데이터 인식까지 포함해 한층 강화된 절차를 택하고 있다. KT는 사고 이후 12일부터 소액결제 방식 중 패스 앱을 통한 결제만 허용하고, 기존 문자·ARS 인증은 차단했다.

정부는 고시 개정을 통해, 사용자가 원할 때만 설정하도록 한 추가 비밀번호 입력을 사실상 의무 단계로 전환한다는 계획이다. 앞으로는 문자나 ARS 인증만으로 결제가 불가하며, 반드시 2단계 본인확인 절차가 병행되도록 하는 구조다. 과기정통부 관계자는 “KT 사태에서도 이중 인증 절차를 설정한 경우에는 피해를 예방할 수 있었다”며, “규제 개정을 통해 보다 촘촘한 본인 확인 시스템을 도입하는 방안을 검토하고 있다”고 말했다.

다만, 모든 결제 건에 똑같이 강화된 보안 절차를 적용할 때, 이용자 불편이 늘고 거래 이탈로 이어질 가능성이 우려된다. 이에 따라 정부는 의무화 수준과 구체적 도입방식에 대해 업계 및 사용자 의견 수렴 절차를 진행, 본인확인 강화와 사용자 편의성의 균형을 찾는 방침이다.

최근 미국, 일본 등에서도 휴대폰 인증 시스템의 보안 강화를 위한 다요소 인증(MFA) 의무화가 확산되는 등, 글로벌 시장에서도 개인정보보호와 결제 시스템 신뢰성 강화가 중요한 과제로 대두되고 있다. 국내에서는 통신사와 결제 대행업체 간 인증 방식 다양화와 보안 프로토콜 고도화가 동시에 추진될 것으로 보인다.

전문가들은 “소액결제는 사용 빈도가 높아, 보안 체계가 허술할 경우 대규모 피해로 이어질 수 있다”며 “중복 인증 등 다중 보호장치가 곧 시장 신뢰로 연결될 가능성이 크다”고 평가했다. 산업계는 이중인증 체계가 실제 결제 시장에 정착할지, 이용자 경험과 보안 향상 중 무엇이 우위를 점할지 관심을 집중한다. 기술 도입을 통한 편리성과, 규제 강화에 따른 보안이 어떻게 균형을 맞출지가 차세대 결제 산업의 핵심 과제로 부상하고 있다.