신용카드 번호 부여방식을 알아낸 뒤 100개가 넘는 카드정보를 도용, 1억원이 넘는 부당이득을 취한 30대 남성이 붙잡혔다. 이번 사건은 소액결제에 쓰이는 ‘안심클릭’ 결제 체계의 허술함을 여실히 드러내 카드업계의 보안대책 마련이 시급한 것으로 지적됐다.
경찰청 사이버테러대응센터는 지난해 9월부터 올해 2월까지 씨티카드 등 6개 회사 신용카드 111장의 비밀번호 등을 알아내 1억1,300만원을 사용한 박모(34ㆍ무직)씨를 사기 등 혐의로 구속하고 달아난 용의자 1명을 수배했다고 12일 밝혔다.
박씨의 범행 수법은 단순하면서도 치밀했다. 박씨는 지난해 9월 인터넷 포털사이트에 개설된 신용카드 불법할인(카드깡) 카페에서 이미 사고 처리돼 정상적으로 사용할 수 없는 신용카드 정보 1,000여 개를 입수했다.
박씨는 이를 바탕으로 카드번호 부여 방식의 규칙성을 파악한 뒤 실제 사용될 가능성이 높은 카드번호를 뽑아냈다. 그는 게임사이트의 실명인증 과정을 이용해 자신이 찾아낸 카드번호가 실제 존재하는지 파악했고 반복적인 입력으로 카드 유효기간도 손쉽게 파악했다.
그는 마지막으로 개인확인 메시지 창에 공개된 개인정보가 비밀번호로 많이 사용되고 있다는 점에 착안해 비밀번호도 찾아냈다. 박씨는 이런 방식으로 게임 아이템을 구입한 뒤 되파는 수법으로 거액을 챙길 수 있었다.
박씨의 범행은 30만원 이하 소액결제에 쓰이는 ‘안심클릭’ 결제 체계가 허술했기 때문에 가능했다. 가장 피해가 컸던 씨티카드의 경우 올해 2월 무더기 도용을 당할 때까지 신용카드 번호와 비밀번호만 입력하면 CVC(신용카드 뒷면에 새겨진 3자리 인증코드)와 유효기간 입력 없이 결제가 가능했다.
오류 입력에 대한 횟수 제한도 없어 시간만 들이면 반복 입력으로 개인정보를 찾을 수 있었다. 박씨 등이 도용에 성공한 카드는 씨티카드가 56장으로 가장 많았고 외환카드 20장, 하나카드 15장, 신한카드 10장 등이었다.
경찰 관계자는 “안심클릭 시스템의 허술함이 계속 지적됐지만 상당수 카드사가 아직도 보완책을 마련하지 않고 있으며 사고가 발생해도 고객 이탈을 우려해 신고조차 하지 않고 있다”고 말했다. 구속된 박씨는 2004년에도 같은 수법으로 돈을 챙기다 경찰에 붙잡힌 적이 있다.
강철원 기자 strong@hk.co.kr
기사 URL이 복사되었습니다.
댓글0