본문 바로가기

벌새::Security

위험한 자동 연장 해지 신청과 개인정보

국내에서 서비스하는 보안 솔루션 업체들의 경우 월정액제 또는 자동 연장 결제를 이용하는 경우 사용자의 해지 신청이 없을 경우에는 실제 사용 여부와 관계없이 매월 자동으로 이용요금을 청구하는 방식으로 이용약관에서 밝히고 있습니다.

특히 일부 업체의 경우에는 특별한 기간을 지정하지 않아 서비스를 중단하여도 이전에 등록된 회원만 가지고 계속적으로 유지 관리를 하는 곳이 있는 것으로 추정됩니다. 이는 자동 연장 결제의 힘이 아닐까도 생각됩니다.

이런 자동 연장 결제를 사용자가 해지 신청을 하는 형태는 웹 페이지상에서 사용자의 전화번호와 주민등록번호를 입력하는 방식을 통해 등록된 고객인지를 판단하거나, 또 다른 형태는 이용시에는 존재하지 않지만 해지시에는 고객의 주민등록번호 앞자리와 뒷자리를 통해 제작사 사이트에 로그인을 하도록 구성하여 해지를 하도록 안내를 하고 있습니다.


특정 업체의 자동 연장 결제 해지 페이지를 예를 들어보면, 그림과 같이 전화번호와 주민등록번호를 입력하여 결제된 정보를 확인하도록 구성되어 있습니다. 또한 하단에서는 입력된 개인정보는 저장이 되지 않는다고 밝히고 있습니다.

테스트를 위해 가상의 전화번호와 주민등록번호를 입력하여 결제 정보를 확인해 보았습니다.


당연히 일치하는 내용이 없다는 안내 메시지가 출력되는 것을 확인할 수 있습니다.

그렇다면 해당 페이지에서 입력과 확인간의 정보를 주고 받는 부분에 대한 로그(Log)를 살펴보겠습니다.


그림에서 보시면 위와 같이 전화번호 항목에서는 tel 값에 입력된 정보가 그대로 노출이 되고 있으며, 주민등록번호 항목에서도 jumin 값에 입력된 정보가 그대로 평문으로 드러나 있습니다.

이런 로그가 사용자의 컴퓨터에서만 기록이 되면 좋겠지만, 암호화 되어 있지 않은 형태로 실제 해당 서버에서 입력 정보를 자신의 고객인지 확인을 하기 때문에 분명 흔적이 남아 있으리라 추정됩니다.

설사 서버에서 바로 로그를 삭제를 할지라도 이런 개인정보를 노출시키고 있다는 것은 매우 보안을 다룬다는 업체들치고는 무성의하다고 볼 수 있습니다.

많은 사이트를 확인해 보지 않고 한 번에 특정 업체 사이트에서 확인한 형태가 이렇다면 과연 다른 업체는 어떨지 궁금해 집니다.

자동 연장 결제로 인해 금전적 피해를 보시는 분들이 있는 것이 현실이고, 겨우 해지 신청을 하게 되어 기쁘겠지만 해지 신청 과정에서 이렇게 또 다른 위험이 도사리고 있다는 점도 유념을 하시고 보안제품의 경우 신뢰할 수 있는 보안제품을 이용하시는 습관도 매우 필요합니다.

마지막으로 자동 연장 결제가 소비자의 편의와 공급자의 수익 창출을 위해 도입된 개념인지는 모르겠지만 교묘하게 결제 방식을 구성하여 소비자에게 피해를 주는 영업 형태는 분명 문제가 있으며, 소비자 역시 금적 거래에 있어서 서비스의 이용약관 등을 제대로 확인하지 않고 결제를 하는 부분에 대해서도 고쳐야 할 것으로 보입니다.
  • 자동 결제가 분명히 편한 부분도 있긴하더군요. 사용자가 그건 선택할 수 있도록 큼지막하면서도 다양한 결제 방법을 제공해주면 별 탈이 없겠지만 애초부터 사기치려는 업체들이니 ㅎㅎ

    그나저나 암호화해서 송수신하고 저장하는게 그리 어려운게 아니라고 알고 있는데 참 성의없네요. 저런 식으로 개인 정보가 유출되도록 방치하는 경우에 대한 법적인 제제 조치를 만드는 것은 좀 어려울까요?

    • 어디 메타 블로그 운영자님 말로는 회원가입 등 개인정보를 하나 이상 수집하는 경우에는 반드시 보안서버를 구축해야 된다고 하더군요.

      저런 경우에도 개인정보 수집인데.. 그리고 저런 업체들은 홈페이지 소스를 서로 공유를 하는지 유사한 곳이 많죠. 다들 비슷비슷할 수도 있을 것 같습니다.

  • 저런 업체가 개인 정보를 보호해줄리가 있겠는지요...
    답답합니다..

    그나저나 전화번호가 센스가 너무 넘칩니다.^^