지난달 서울 관악경찰서는 배달음식을 주문한 손님들이 결제하라고 건넨 신용카드를 복제해 금반지 등을 구입한 일당을 구속했다. 이들은 MS카드(일명 마그네틱 카드)가 아무 단말기에서나 신용카드 정보(카드 번호, 유효기간, CVC 번호 등)를 암호화 과정 없이 전송하는 허점을 악용했다. 신용카드 복제범들은 불법 카드정보 수집기에 카드를 한번만 긁으면 카드정보를 빼낼 수 있다. MS카드의 보안 허점 때문에 지난 2011년까지 5년 동안 국내에서 발생한 카드 복제사고는 2만7,940건, 피해액은 300억원에 이른다.
이렇게 보안에 취약한 MS카드 결제방식을 개선하지 못하는 가장 큰 원인은 금융감독원의 근시안적 정책결정에 있다는 것이 금융전문가들의 지적이다.
우리나라는 2004년부터 보안유지가 우수한 칩 방식 카드(IC카드) 전환 정책을 펼쳐 이미 보급된 신용카드의 82%에 IC칩이 장착돼 있다. 하지만 가맹점 단말기는 대부분이 MS카드만 인식하는 구식에 머물러 있다. 금융감독원에 따르면 2011년 말 전세계 카드 단말기의 IC 전환율은 76.4%이지만 지난해 3월까지 국내 신용카드 단말기의 IC 전환율은 32%에 불과하다.
금감원도 이 같은 상황을 인식해 지난해 5월 "2015년 1월까지 전 가맹점에 IC 단말기를 보급하고 MS 방식 결제를 막는다"고 밝혔지만, 정작 IC카드 인식 단말기 보급에 소극적이다. 250만 단말기 전체를 교체하는 데 수천억원의 비용이 소요되는데 정부도, 카드사도, 밴사도, 가맹점도 이 비용을 부담하기를 꺼려하고 있는데다 당국이 이해당사자들에게 강하게 요구하지도 않고 있기 때문이다.
금융권에서는 이 상황이 계속되면 2012년 초 은행 CD/ATM기에서 IC 현금카드만 사용하도록 추진하다 좌절한 사건이 2015년 재연될 수밖에 없다고 지적한다. 당시 기준일을 정해 그날 이후 MS카드로 현금인출이 불가능하도록 정하고 IC카드를 보급했으나 사전 홍보 미비로 혼란이 발생했고 전환이 좌절됐다.
금감원은 이 같은 정책실패를 피하기 위해 2015년 IC카드 전면 전환 계획과 별도로 MS카드 사용도 계속할 수 있도록 보안성을 강화하는 정책을 추진했다. 하지만 이를 위해 도입한 기술에 연거푸 결함이 드러나면서 두 번이나 사업 시행이 중단됐다.
2009년 감독당국과 여신금융협회 주도로 가맹점 단말기에 보안 소프트웨어를 설치해 복제를 방지하겠다는 계획이 수립됐고 여기에 20억원의 예산이 집행됐으나, 승인이 제대로 되지 않는 등 오류가 발생해 올해 초 폐기됐다. 이어 작은 보안용 하드웨어를 단말기에 추가 설치하겠다는 계획이 수립돼 이를 제작할 업체까지 선정했으나, 뒤늦게 이 하드웨어는 MS카드에만 적용되는 것으로 드러나 최근 추진이 중단됐다.
여신협회는 MS카드와 IC카드에 동시 적용되는 가맹점 단말기용 보안 하드웨어를 다시 발주한다는 계획이지만 보안업계에서는 실효성에 의문을 제기하고 있다. 한 보안 전문가는 "MS카드는 카드 인식단계뿐 아니라 단말기에 정보 저장단계, 밴사에 정보 전송 단계 등 여러 단계에서 정보 유출 위험이 심각한 만큼 아예 폐기하고 그 예산을 IC카드 단말기 전면 보급에 사용하는 것이 낫다"고 지적했다.
이미 주요국가들은 IC카드 인식단말기로 전환을 끝낸 상황이다. 프랑스가 1994년 MS카드를 모두 IC카드로 전환한 것을 필두로 현재 유럽과 호주 등 선진국뿐 아니라 말레이시아 등 동남아시아 국가도 IC칩 카드로 전환을 완료했다. 해외 여행을 가서 신용카드로 결제할 때 비밀번호를 입력해야 하는 경우가 많은 것은 이 때문이다.
하지만 정보화 강국을 자부하는 우리나라는 금융당국의 정책실패 탓에 정보화의 기본인 전자금융 분야에서 후진국을 면치 못하고 있다.
최진주기자 pariscom@hk.co.kr
기사 URL이 복사되었습니다.
댓글0