카드사들, 부정결제 차단엔 비교적 선방
전체의 2.4%는 실제로 결제 이뤄져
“별 일 아니다” “해외까진 관리 어렵다”
해명보다 고객 불안 줄일 노력 더 필요
‘빼빼로 데이’로 젊은이들이 들떠있던 지난 11일, 유명 대학 카이스트에서 한바탕 소동이 일었습니다. 버젓이 국내에 있는 학생들에게 ‘자신이 일본에서 신용카드를 사용했다’는 결제확인 문자 메시지가 날아든 겁니다. 비록 1~2엔(약 100~200원)씩의 소액이었지만 황당한 일이었습니다. 또 어떤 학생에겐 ‘결제가 시도됐으나 실패했다’는 문자가 왔습니다.
최종 결제 여부와 상관 없이 자연히 이런 문자를 받은 학생들과 교직원들은 자신의 신용카드 정보가 불법으로 해외에 유출된 게 아닌가 하는 걱정에 휩싸였죠. 때문에 이날 카이스트 SNS와 내부 게시판은 피해를 봤다는 이들과 정보유출을 우려하는 이들의 글로 꼬리에 꼬리를 물었습니다.
사건을 정리해 보면 이렇습니다. 13일 여신금융협회에 따르면 11~12일 이틀에 거쳐 일본의 한 전자상거래업체가 국내 카드사 전반에 총 3만9,500건의 결제승인을 요청했습니다. 현재 경찰 사이버수사대가 수사를 진행 중이긴 하지만, 카드업계는 해당 일본 업체가 카이스트 근처의 일부 보안수준이 낮은 POS단말기를 가진 가맹점에서 카드정보를 불법 유출했다고 보고 있습니다. 불행 중 다행인 건 결제요청 금액이 1~2엔으로 비교적 소액이었고, 실제 승인이 떨어진 결제는 전체의 2.4%에 불과했다는 점입니다. 97.6%에 해당하는 3만8,537건은 거래승인이 아예 차단됐다는 얘깁니다. 예전 같으면 무더기 승인이 난 후 뒤늦게 ‘어이쿠’ 했을 카드사들이 이번에는 ‘선방’한 셈입니다. 2.4%에 해당하는 30만원 가량의 결제승인 금액은 카드사용자 본인 외의 사람이 불법적으로 사용한 것이기 때문에 고객에게 청구되지 않습니다. 고객 입장에서 보자면, 이번 사건으로 인한 피해금액은 0원인 셈입니다.
그렇다면 카드사들은 어떻게 이렇게 단시간에 이 같은 결제요청을 ‘불법’으로 판단하고 사전에 차단할 수 있었던 걸까요? 이는 카드사들이 구축한 ‘부정사용방지시스템(FDSㆍFraud Detection System)’ 때문입니다. FDS는 고객의 신용카드 거래를 실시간으로 분석해 평소와 다른 이상징후, 즉 비정상적인 거래가 발생하면 이를 사전에 차단하는 시스템입니다. 국내 주요 8개 카드사들은 모두 이를 갖추고 있습니다. 은행, 증권 등 타업권에 비해 FDS 구축 비율이 월등히 높은 편이죠. 한 카드사 관계자는 “해당 일본 업체의 승인요청이 최초 몇 건은 승인됐다”면서도 “이후로는 동시다발적으로 수십, 수백, 수천 건이 쏟아지면서 FDS가 이를 이상징후로 감지하고 거래를 차단했다”고 말했습니다. 금융당국 관계자 또한 “카드사의 FDS가 굉장히 잘 작동하고 있음을 보여준 사례”라며 사고 발생과는 별개로 조금은 으쓱하는 모습을 보였습니다.
FDS가 제대로 작동했고 이를 통해서 수많은 부정거래를 사전에 차단한 것은 분명히 칭찬할 만한 일입니다. 하지만 여전히 아쉬운 점도 있습니다. 카드업계에 따르면 이번 사건처럼 단말기를 통해 카드정보가 유출돼 해외 같은 외부에서 부정결제를 시도하는 사례는 생각보다 잦다고 합니다. 한 카드사 관계자는 “일년에 100건 정도 이런 일이 발생한다. 이번 일도 사실 별 일 아니다”라고 말했을 정도입니다.
이 같은 일이 발생하는 근본적인 이유는 현재 국내 대부분의 카드사 가맹점들이 카드정보 복제가 쉬운 마그네틱 단말기를 여전히 사용하고 있고, 일부는 너무 노후화돼 정보보안이 쉽지 않다는 데 있습니다. 이 때문에 당국은 2018년까지 모든 가맹점 단말기를 IC단말기로 교체할 것을 당부했고, 카드사들은 영세가명점을 위해 여신협회를 중심으로 1,000억원의 IC단말기 전환기금을 조성해 단말기 교체사업을 진행 중입니다. 마그네틱 카드는 신용카드 뒷면에 있는 자기테이프에 기록된 계좌번호 등 각종 데이터가 손쉽게 복사되는 반면, IC카드는 카드 내에서 정보의 저장과 처리가 가능해 이 같은 위변조 위험을 최소화합니다. 하지만 IC단말기 전환율은 아직 58.2%에 불과하죠.
그렇다 해도 고객 정보가 유출되고, 유출된 정보로 일년에 수십, 수백 건의 공격이 쏟아지는 현실에 대한 카드사들의 반응은 너무 태연한 것 아닌가 하는 생각이 듭니다. 모든 가맹점이 IC단말기로 교체하기까지 아직 2년 남짓이나 남았고, 여전히 IC단말기 전환율은 절반을 조금 넘는 수준인데 ‘이런 공격은 자주 있는 일이고, 이번 사고도 별 일 아니다. FDS로 막았으니 되지 않았느냐’라고 넘어가는 건 지나치게 낙관적인 태도가 아닐까요. 협회와 당국의 태도도 마찬가지입니다. 이들은 심지어 “해외 가맹점은 국가 코드 등이 다 달라 관리가 어려워 국내 가맹점만 관리하고 있다”라며 방관적인 태도를 보였습니다.
이번 사고를 면밀히 보면 사실 피해를 보다 줄일 수 있는 부분이 분명 있었습니다. 일부 카드사들은 해당 일본 업체를 일찍이 ‘요주의 가맹점’ 혹은 ‘불량 가맹점’으로 등록해놓고 예의주시하고 있었습니다. 예전부터 뭔가 낌새가 이상했거나 이번과 비슷한 시도가 있었기 때문이죠. 이런 카드사에서는 결제 승인이 아예 한 건도 일어나지 않았습니다.
하지만 해당 업체에 대한 정보가 없었던 카드사들은, 결론적으로는 FDS를 통해 다수의 결제승인 요청을 거절하긴 했지만, 최초 몇 건의 결제 요청이 승인됐습니다. 만약 당국을 중심으로 이 같은 불량 해외가맹점에 대한 정보가 카드사들 사이에 공유됐더라면 이러한 피해도 최소화할 수 있지 않았을까요. 특히 이번 사고의 경우, 보통 일회성 가맹점을 임시로 만들어 공격하던 패턴과는 달리 이미 카드사에 ‘요주의’ ‘불량’으로 등록돼 있던 업체가 공격을 시도한 것인 만큼 정보가 공유됐더라면 최소한의 피해까지도 막을 수 있지 않았을까 하는 아쉬움이 남습니다. 이에 대해 당국 관계자도 “해외 가맹점에 대한 정보를 공유하는 등 사고를 최소화할 수 있는 방안을 찾아보겠다”고 했습니다.
이번 사고 발생 직후 카드사와 협회, 당국은 하나같이 ‘고객이 입는 피해는 없다’는 점을 강조하고 나섰습니다. 하지만 정말 그럴까요? 금전적 피해가 없었을 뿐, 고객들은 ‘내 카드정보가 해외에 유출됐다’는 사실만으로도 크게 불안에 떨었고 그것만으로도 충분히 피해를 입었다고 볼 수 있을 겁니다.
카드 부정사용을 100% 막을 수는 없다고 하더라도, FDS를 도입했다 하더라도 자주 발생하는 사고에 대해서 만큼은 그로 인한 피해를 최소화 할 수 있는 또 다른 방법을 지속적으로 고안해야 하지 않을까 싶습니다. 그래야 고객들도 안심하고 카드를 이용하고, 카드사도 고객의 보다 높은 신뢰를 얻을 수 있을 테니까요.
김진주기자 pearlkim72@hankookilbo.com
기사 URL이 복사되었습니다.
댓글0