상하이방

중국의 대표 모바일 결제 플랫폼인 위챗페이(微信支付)에 심각한 결함이 있는 것으로 드러났다.

지난 1일 해외 결함 공개 플랫폼 ‘풀 디스클로저(Full Disclosure)’에 아이디 ‘Rose Jackc***’를 사용하는 누리꾼이 위챗페이 소프트웨어개발키트(SDK) 보안에 결함이 있다고 폭로했다고 4일 중국망재경(中国网财经)이 보도했다.

위챗페이의 결함을 이용해 판매자 계정에 침투하면 실제로 돈을 내지 않고도 모든 물건을 살 수 있다고 누리꾼은 밝혔다.

자바스크립트 버전의 위챗페이 SDK에 XXE라는 결함이 있어 판매자 홈페이지에 악성 페이로드(payload)를 배치하면 판매상의 모든 결제 정보를 얻을 수 있다는 것이다. 이를 통하면 해커들이 무한대로 결제하고 고객 정보를 거액에 판매할 수 있게 된다.

폭로를 한 누리꾼은 자신의 주장을 입증할 수 있는 소스 자료 사진 두 장을 예시로 제시했다. 소스 자료는 모모(MoMo)와 비보(vivo) 스마트폰 내 위챗페이가 뚫리는 과정을 상세히 보여줬다.

논란이 일자 텐센트(腾讯)는 즉각 대응에 나섰다. 텐센트는 “위챗페이 기술보안팀이 관련 소식을 접하고 즉시 보완 작업에 착수했다”며 “4일 오후 홈페이지에 해당 SDK 결함 문제를 해결했으며 보안 업그레이드를 완료했으니 사용자들은 안심하고 위챗페이를 이용해도 된다”고 밝혔다.

텐센트의 발빠른 대응으로 결함 폭로는 해프닝으로 마무리 됐지만 누리꾼들은 “위챗페이도 뚫릴 수 있다니 충격이다”, “저 사람이 폭로하지 않았다면 내 정보가 팔릴 수도 있었겠네”, “믿을 수 있는 건 알리페이 마윈뿐인가”라며 불안감을 내비쳤다.

유재희 기자