중국 해커 기프트카드 정보 탈취…초보적 방법에도 속수무책
[서울파이낸스 박윤호기자] 대형 카드사 2곳의 홈페이지서 중국 해커가 기프트카드 부정사용을 시도해 총 1500여만원의 피해가 있었던 사실이 뒤늦게 드러나 논란이 일고 있다. 특히, 보안이 초보적인 방법으로 뚫려 금융사의 허술한 보안관리가 또다시 도마 위에 올랐다.
경찰은 19일 중국 해커로부터 50만원권 기프트카드 총 3억5000만원 상당의 정보를 2억9000만원에 사들여 사용한 혐의로 이모(22)씨를 구속하고 나머지 일단 9명을 불구속 입건했다고 밝혔다.
기프트카드는 은행이나 인터넷을 통해 50만원 한도로 발급이 가능한 무기명 선불카드로, 일반 신용카드와 형태가 동일하고 대부분 카드 가맹점에서 사용이 가능하다.
최근에는 누구나 양도가 가능한 무기명 카드란 점을 들어 선물용으로도 각광을 받는 상품이다.
하지만, IC(집적회로)가 탑재돼 있지 않아, 카드 복제 단말기로 쉽게 복제할 수 있어 보안성이 취약하다는 문제점이 제시됐었다.
사건의 발단은 경찰에 붙잡힌 이씨 등이 중국 해커로부터 50만원권 기프트카드 정보를 구매하면서 발생했다. 이 해커는 국내 은행에서 구매한 기프트카드 번호를 바탕으로 카드의 번호와 유효기간 등을 유추해 범행을 시도한 것으로 드러났다.
특히, 000부터 999번으로 구성된 CVC 코드의 경우 단순히 세자릿수 번호를 무작위로 입력하는 방법을 통해 알아낸 것을 조사됐다. 즉, 누구나 시도가 가능할 만큼 초보적인 방법으로 범행이 가능했다는 점이다.
이같이 허술한 보안체계로 피해를 본 카드사는 총 2곳, 이들은 3~5회 비밀번호를 잘못 입력할 때 입력이 제한되는 등 기본적인 보안체계도 두지 않은 것으로 조사됐다. 이들은 현재는 피해 사실을 뒤늦게 발견하고, 관련 보안체계를 갖춘 것으로 알려졌다.
피해액은 △A카드사 10건(500만원) △B카드사 약 20건(약 900여만원)으로 총 피해액만 1500만원에 달한다.
A카드사 관계자는 "지난해 말 이 같은 사실을 발견하고, 즉시 비밀번호 제한과 휴대전화인증 등 보안체계를 도입했다"며 "피해를 본 고객에게도 즉시 보상을 완료했다"라고 설명했다.
B카드사 관계자는 "지난 1월 초 이상거래탐지 시스템(FDS:Fraud Detection System)으로 부정사용 건을 발견하고 보안체계를 재정비했다"며 "수사의뢰는 물론 피해보상도 완료했다"라고 말했다.
하지만 일각에서는 피해 발생 뒤 '소 잃고 외양간 고친다' 격으로 사태수습에 일관하는 카드사의 행태에 불만의 목소리가 높아지고 있다. 개인정보 유출 등 여론이 좋지 않은 상황에 보안체계를 제대로 갖춘 금융사 조차도 싸잡아 불신이 깊어질 수 있다는 이유다.
한 금융권 관계자는 "지난 2014년 카드 3사의 대규모 정보유출 사태 이후에도 보안관리의 심각성엔 여전히 무관심을 일관하고 있다"며 "매번 동일한 보안문제가 발견돼서는 카드업계의 이미지 쇄신은 어려울 것"이라고 비판했다.
