이젠 사용하지 않는 구형 카드결제(POS) 단말기를 통해 국내 15개 금융사가 발급한 신용ㆍ체크카드의 카드번호 57만건가량이 새어 나간 사실이 뒤늦게 드러났다. 카드 정보 유출 건수로는 2014년 카드사 정보 유출 사태(1억 건) 이후 최대 규모다. 금융당국은 유출된 정보가 카드번호뿐이라 부정사용 가능성이 낮고 실제로 그런 사례가 확인되지 않았다는 입장이다. 다만 사고 예방 차원에서 해당 금융사에 카드 교체 발급을 권고하기로 했다.
◇CVCㆍ비밀번호는 유출 안돼
26일 금융감독원에 따르면 경찰청은 지난 9일 여신전문금융업법 위반 혐의를 받는 이모(41)씨에게 압수한 이동식저장장치(USB)에서 다량의 카드 정보를 발견하고 금감원에 수사 협조를 요청했다. USB에는 카드사, 은행 등 국내 15개 금융사에서 발급한 카드 56만8,000장의 카드번호가 담겨 있는 것으로 확인됐다. 2014년 카드사 정보 유출 이래 가장 많은 카드 정보를 도난 당한 셈이다.
금감원은 이씨가 2년 전쯤 마그네틱(MS) 방식의 구형 카드결제 단말기(POS 단말기)를 통해 카드번호를 빼낸 것으로 보고 있다. 해당 카드들이 모두 2017년 3월 이전 발급분으로 확인돼 범행이 그즈음 발생한 걸로 추정되는 점, 당시는 카드 가맹점들이 보안 기능이 강화된 현행 집적회로 방식 단말기를 의무 도입(2018년 7월 시행)하기 이전이란 점이 근거다. 이씨가 2014년 4월에도 MS 방식 POS 단말기에 악성 프로그램을 심어 신용카드 정보를 유출한 혐의로 복역한 전력이 있는 점도 추정에 힘을 싣는다.
금감원 관계자는 “IC 방식 단말기는 최소한의 카드 정보만 암호화해 저장ㆍ전송하기 때문에 이번과 같은 사건이 발생할 가능성이 작다”며 “지난해 7월 이후엔 MS 방식 단말기가 모두 IC 방식으로 대체된 만큼, 그 이전에 카드 정보를 빼냈다고 보는 게 합리적”이라고 말했다.
◇부정사용 피해 가능성 낮아
금융당국은 이번 정보 유출이 카드 부정사용으로 이어질 가능성은 낮게 보고 있다. 압수된 USB에담긴 정보는 카드번호와 유효기간뿐으로, 카드 비밀번호, CVC(카드 뒷면 3자리 숫자), 주민등록번호 등 실물카드 위조나 온라인 결제에 필요한 추가 정보는 없기 때문이다.
당국은 부정사용 증가 징후도 탐지되지 않았다고 밝혔다. 금감원이 사건 인지 직후부터 해당 금융사의 부정사용방지시스템(FDS) 가동을 강화했는데, 정보 유출 카드 가운데 최근 3개월 동안 부정사용이 감지된 카드는 64개(0.01%)이고 부정사용액은 약 2,475만원이었다. 권민수 금감원 신용정보평가실장은 “통상적으로 전체 유통 카드량 대비 FDS로 탐지되는 (부정 사용) 수준이 0.02∼0.03%인데 이번엔 0.01%에 불과하다”며 “통계적 경험상 이번 도난에 따른 이상거래라고 보기 어렵다”고 말했다.
금감원은 그러나 각 금융사에 사고 예방 차원에서 피해 고객에게 개별 안내를 하고 카드 교체 발급 및 해외 거래 정지 조치를 취할 것을 권고했다. 금감원은 탐지된 부정사용 건에 대해서도 금융사들이 전액 보상했다고 밝혔다. 여신전문금융업법에 따라 해킹, 전산장애, 정보유출 등 부정한 방법에 따른 카드 피해는 금융사가 보상해야 한다.
이상무 기자 allclear@hankookilbo.com
기사 URL이 복사되었습니다.
댓글0