사상 최대 규모의 고객 정보 유출에도 불구하고 금융당국은 "피해 가능성은 없다"고 잘라 말한다. 관련자들로부터 원본파일과 복사파일을 모두 압수했기 때문에 2차 유통에 따른 피해 가능성은 없고, 만약 유출된 정보가 시장에 유통돼도 비밀번호와 CVC값 등 중요정보는 포함되어 있지 않아서 카드 위ㆍ변조나 현금 불법 인출이 원천적으로 불가능하다는 것이다.
하지만 이번에 유출된 정보는 성명, 주민번호, 휴대전화번호 등 신상정보는 물론이고 카드번호, 유효기간, 결제계좌 등 지금껏 단 한번도 유출된 적이 없는 민감한 정보다. 심지어 주택 소유 여부, 자동차 보유 여부, 결혼 여부 등의 정보까지도 포함됐다.
금융당국의 설명처럼 정보가 시중에 전혀 유통이 안 됐다면 다행이겠지만 만약 일부라도 유통이 됐다면 거의 재앙 수준에 가깝다. 그 만큼 폭넓은 활용이 가능한 정보들이다.
가장 민감한 정보는 카드번호와 유효기간이다. 이 두 가지 정보만으로 사기 결제, 부정 결제가 얼마든 가능하다. 실제 피자나 치킨 등 배달업체를 통한 결제나 호텔, 보험, 여행, 홈쇼핑 등에서는 카드번호와 유효기간만으로 결제를 할 수 있다. 상당수가 휴대폰 문자메시지나 비밀번호 인증으로 거래가 이뤄져 대부분 차단된다는 것이 금융당국의 설명이지만, 실제로는 주민번호를 불러주는 것만으로 결제가 이뤄지는 시스템도 많아 추가 피해 우려가 크다는 것이 중론이다. 홈쇼핑 구매의 경우 첫 거래 시에만 비밀번호를 요구할 뿐 추가 거래부터는 카드 번호와 유효기간 만 있으면 가능하다.
급증하는 해외 직접구매의 경우 피해는 더욱 확산될 수 있다. 해외 가맹점을 대상으로 거래되는 직구도 카드번호와 유효기간만으로 결제한다. 공인인증서나 휴대전화 인증 절차 등은 전혀 없다. 특히 해외 직구의 경우 국내 가맹점과 같이 실시간 승인이 이뤄지지 않는 경우도 다반사다. 이렇게 되면 아무리 결제 시 문자로 통보를 받는 서비스를 이용한다고 해도 실제 결제가 이뤄졌는지 여부를 나중에야 알게 된다. 부정 사용을 차단하기가 그만큼 어려워진다는 얘기다.
개인의 연소득이나 신용정보 등이 노출됐다는 점도 불안 요소다. 대출이나 신용정보 상향 등을 알선해주겠다며 접근할 가능성이 얼마든지 있다. 전화나 금융전화사기(보이스피싱)에 노출될 가능성이 훨씬 커진 것은 당연한 얘기다. 금융감독원도 이날 브리핑에서 "고객에게 정보유출사실을 통지하는 과정에서 불안심리를 이용한 보이스피싱, 스미싱 등의 피해가 우려된다"고 밝혔다. 정보가 유출된 금융회사나 금감원 등을 사칭해 추가적으로 필요한 금융정보를 탈취할 수 있다는 것이다. 문자메시지에 악성코드를 설치해 클릭하면 소액 결제 등을 통해 돈을 빼내가는 사례도 더욱 빈번해질 수 있다. 누가, 어떤 목적으로 이 정보들을 입수했느냐에 따라서 다양한 방식의 악용 가능성이 있다는 얘기다.
만약 피해가 발생한 경우 책임 소재를 따지는 과정도 논란이 될 전망이다. 카드사들은 이번 정보 유출로 인해 2차 피해가 발생할 경우 보상하겠다는 입장을 거듭 밝힌 상태. 그러나 보이스피싱 등에 개인정보가 이용될 경우 기존 정보를 통한 것인지 이번에 유출된 정보인 것인지 명확하게 구분할 수 있는 방법이 없다. 카드번호와 유효기간을 통해 결제가 가능한 상황에 대해서는 배달업체나 여행사, 홈쇼핑 업체, 해외업체 등에 본인 여부를 제대로 확인하지 않았다는 식으로 책임을 미룰 가능성도 높다는 것이 대체적인 관측이다. 카드 피해 사례가 대부분 피해자에게 입증 책임이 있다는 점에서 최악의 경우 피해자들이 부담을 안을 수밖에 없을 것이라는 전망이다.
이대혁기자 selected@hk.co.kr
기사 URL이 복사되었습니다.
댓글0