[단독] 통신사·쇼핑몰 이어 ‘AI 구독’ 타깃…‘쿠팡 잔혹사’ 잇는 보안사고 [AI 구독 시스템의 덫]

오픈AI, 나이스와 결제망 제휴
생체인식 등 2차 본인인증 없어
결제망 야금야금 갉아먹는 형태
데이터 재가공 2차 범죄 우려도
빅테크, 비회원 즉각 구제 필요

그동안 국내에서 발생한 대규모 개인정보 유출 및 명의 도용 피해는 주로 대형 통신사나 대기업 온라인 쇼핑몰, 금융사 서버를 직접 해킹하는 방식으로 이뤄졌다. 그러나 기술의 급격한 대중화로 AI 서비스가 일상적인 ‘구독 경제’ 모델로 안착하면서 범죄 조직의 타깃이 국내 대기업 서버에서 해외 AI 서비스의 취약한 결제창으로 급격히 이동하고 있다는 분석이 나온다. 편리한 구독 결제 이면에 숨겨진 보안 공백이 신종 사각지대를 낳은 셈이다.

11일 보안 업계와 학계에서는 이번 챗GPT 4억원대 무단 결제 사태의 근본 원인으로 글로벌 AI 서비스들의 느슨한 ‘해외 결제 인증 체계’를 꼽는다. 글로벌 빅테크인 오픈AI는 국내 유저들의 결제 편의와 원활한 전산 처리를 위해 국내 대형 결제대행사(PG)인 나이스정보통신과 결제망을 연동해 운영하고 있다. 그러나 이번 사태는 범죄 조직이 생체인식 등 ‘2차 본인 인증 절차’가 실종된 보안 사각지대를 정확히 노려 매크로 공격을 집중적으로 쏟아부으면서 발생했다.

특히 전문가들은 이번 사태가 단순한 일회성 카드 도용을 넘어 음지에서 유출된 데이터베이스(DB)를 결합하고 가공해 재유통하는 2차 범죄의 서막이라고 경고한다. 오픈AI와 나이스정보통신이 신규 등록 카드의 결제를 긴급 차단했으나 이는 미봉책에 불과하다는 지적이다.

최병호 고려대학교 휴먼인스파이어드 AI연구원 연구 교수는 “일시적인 전산 관문 차단은 임시방편일 뿐, 범죄 조직 입장에서는 이번 공격을 통해 해당 카드 정보가 진짜 돈이 빠져나가는 ‘살아있는 유효한 정보’라는 점을 완벽하게 검증받은 꼴”이라고 진단했다. 최 교수는 이어 “이렇게 범죄자들의 손에 의해 유효성이 확실하게 증명돼 블랙마켓 매물로 올라간 금융 정보는 향후 보이스피싱, 로맨스 스캠 등 또 다른 조직형 2차 범죄의 치명적인 시한폭탄이 될 수 있다”고 경고했다.

결국 글로벌 빅테크가 제공하는 편리한 구독 경제는 국내 결제망의 높은 접근성과 해외 보안ㆍ환불 정책의 폐쇄성이 결합하면서 해커들이 매크로 프로그램을 들고 마음껏 날뛸 수 있는 최적의 ‘사냥터’를 제공했다는 지적이다. 한 보안업계 관계자는 “과거의 해킹이 기업의 돈을 직접 빼돌리는 대형 폭탄이었다면 구독경제 시대의 해킹은 소비자의 일상 결제망에 기생해 야금야금 자산을 갉아먹는 지능형 생활 밀착 범죄로 진화했다”며 “글로벌 기업들이 국내에서 구독료를 징수하는 만큼 도용 계정을 선제적으로 차단하고 비회원 피해자도 즉각 구제할 수 있는 한국형 보안 가이드라인 준수가 시급하다”고 강조했다. 이에 나이스정보통신 관계자는 “이용자 보호를 위해 오픈AI 협의해 자동결제 등록 절차의 인증 체계를 강화할 예정”이라고 말했다.

다만 이러한 글로벌 결제 공백을 막기 위해 규제 칼날을 들이대는 것은 신중해야 한다는 학계의 의견도 존재한다. 박기웅 세종대 교수는 글로벌 플랫폼에 대한 강력한 보안 인증 강제 책동에 대해 “과거 인터넷 뱅킹 시절 보안성을 높이겠다는 명분으로 키보드 보안, 네트워크 탐지 등 6~7개의 프로그램을 덕지덕지 강제했다가 컴퓨터만 느려지고 사용자의 거부 반응만 키웠던 부작용을 기억해야 한다”며 정책 만능주의를 경계했다. 박 교수는 이어 “보안 규제는 사용성을 해치지 않도록 신중하게 접근하되, 결제 인더스트리(산업계)가 진화하는 범죄 트렌드를 정확히 파악하고 기술적인 보안 탐지 및 방어 룰을 신속하게 업그레이드하도록 인센티브를 주거나 격려하는 것이 현실적인 대안”이라고 강조했다.