카드사 "또 털렸다"…'기프트카드' 보안장치 허술 드러나

[컨슈머치 = 송수연 기자] 최근 기프트카드 정보가 노출되는 사고가 발생하면서 카드업계의 보안문제가 다시 불거졌다.

지난 19일 업계에 따르면 국내 카드사 2곳의 기프트카드 중요 정보가 중국 해커들에게 유출되면서 금전적 피해가 발생했다.

뒤늦게 카드사들은 보안대책을 마련했지만 ‘소 잃고 외양간 고친다’는 식의 태도에 소비자들의 비난이 이어지고 있다.

▶기본적인 보안장치도 ‘전무’

국내 카드업계는 지난해 기프트카드 복제 사건에 이어 중요정보 해킹 문제까지 벌어지며 보안 문제가 도마에 오르고 있다.

▲ (출처=pixabay)

금융감독원과 경찰에 따르면 국내 카드범죄조직의 청탁을 받은 중국 해커들이 국내 카드사 2곳의 기프트카드의 카드번호, 유효기간, CVC(카드보안코드) 등 주요 정보를 빼냈다.

기프트카드는 무기명카드 형태로 카드정보만 있으면 누구나 사용이 가능해 정보가 유출될 경우 금전적인 피해로 이어질 수 있다.

금융감독원 관계자는 “중국 해커들이 카드사 홈페이지의 기프트카드 등록 또는 조회 화면에서 임의의 숫자를 반복적으로 입력하더라도 차단이 되지 않는 점을 이용해 카드정보를 탈취했다”고 밝혔다.

표적이 된 국내 카드사 2곳은 카드정보 입력화면에서 입력 오류가 일정 횟수를 초과하면 등록·조회 등이차단되는 기본적인 보안장치조차 마련돼 있지 않았다.

중국 해커에게 해킹을 청탁한 이 모(22)씨는 기프티카드 정보를 2억9,000만 원에 넘겨받아 모바일 상품권을 구입하는 등 부당하게 사용한 혐의로 구속됐다.

이 사건으로 발생된 피해액은 A사 약 500만 원, B사 약 990만 원 등 총 1,500만 원정도로 확인됐다.

문제가 된 카드사들은 모니터링을 통해 부정 사용내역을 확인하고 손실이 발생한 카드에 대한 보상을 모두 완료했다.

▶또 소 잃고 외양간 고치는 카드사

소 잃고 외양간을 고치는 모습은 여전했다.

앞서 금융감독원은 기프트카드 등록·조회 시 카드정보 입력 오류가 일정 횟수 이상 발생하는 경우 등록·조회를 차단하는 등의 보안대책을 마련하라는 공문을 카드사에 내려 보낸 것으로 알려졌다.

하지만 일부 카드사들은 보안대책을 마련하지 않았고 문제가 발생하고 나서야 뒤늦게 오류 시 입력을 차단할 수 있는 보안장치를 마련했다.

▲ (출처=pixabay)

국내 카드사의 한 관계자는 “이번 고객 유출 사건을 계기로 고객들의 신뢰 개선을 위해 내부적 보안 체계를 재점검하고 업그레이드함과 동시에 모니터링도 한층 강화할 계획”이라고 말했다.

여신금융협회도 동일한 피해가 재발하지 않도록 입력 오류가 일정 횟수 발생하면 이용을 즉각 차단하고 영업점을 방문해 신원을 확인하는 방식의 방안을 마련했다.

기프트카드의 실물카드 복제 방지를 위해 CVC 번호와 마그네틱선 일부를 보안스티커로 부착해 가리는 방안도 논의되고 있다.

▶해당 카드사, 감독 규정 위반 책임

금감원은 문제가 된 카드사들이 감독 규정을 위반한 사례에 대해 조사하고 이에 대한 책임을 물을 전망이다.

금감원 관계자는 “기프트카드만을 한정한 감독 규정은 아니지만 오류가 5회 이상 발생했을 경우 차단하도록 된 규정이 있다”면서 “모든 금융상품에 대한 감독규정을 만들 수 없기 때문에 기존 규정이 선언적인 형태의 규정으로 해석될 수 있다”고 말했다.

한편, 금감원은 이번 정보유출 사건의 악용을 방지하기 위해 해킹을 당한 카드사는 공개하지 않을 방침이다.

금감원 관계자는 “무기명, 비실명이라는 특성 상 고객이 금액을 사용해 놓고도 해킹으로 인해 피해를 봤다고 하는 악용의 소지 때문에 후속조치가 완료될 때까지는 밝히지 않을 예정”이라고 전했다.