기획 & 캠페인
결제 영수증에 신용카드 번호 노출되면 철퇴 맞는다
상태바
결제 영수증에 신용카드 번호 노출되면 철퇴 맞는다
컨슈머리서치서 문제 제기 후 금감원 긴급 시정 조치
  • 문지혜 기자 jhmoon@csnews.co.kr
  • 승인 2014.01.07 09:31
  • 댓글 0
이 기사를 공유합니다

신용카드 영수증을 통한 고객 정보 유출을 막기 위해 금융당국이 나섰다. 지난 11월 26일 소비자문제연구소 컨슈머리서치(대표 최현숙)가 신용카드 영수증에 카드 번호와 유효기간이 노출돼 개인신용 정보가 고스란히 노출될 수있다는 지적을 제기한 지 40여일 만이다.

7일 금융감독원은 최근 고객 카드번호 보호 규정을 제대로 지키지 않은 영세 단말기업체에 대해 긴급 시정 조치를 내렸다.

금감원은 지난해 말 컨슈머리서치가 카드 영수증의 정보 유출 문제를 제기한 후 전수 조사를 벌였고 일부 영세업체에서 멋대로 운영되고 있는 걸 발견했다고 밝혔다.

이번 단속 이후 모든 단말기업체에 카드 번호 16자리 중 '서드 레인지(third range)'라고 불리는 9∼12번째 자리를 의무적으로 가리고, 카드 유효기간도 영수증에 노출하지 않도록 했다.

카드업계와 여신금융협회는 2008년 신용카드 번호 중 '서드 레인지'를 가리도록 권고한 바 있다. 그러나 단말기마다 가려지는 숫자가 제각각이라 영수증 몇 개만 모으면 카드번호 16자리뿐만 아니라 유효기간까지 모두 노출되고 있는 것으로 확인돼 정보 유출의 문제점이 제기됐다.

특히 최근 온라인몰 쇼핑이 크게 늘면서 카드 번호와 유효기간만 알면 결제가 가능해 신용카드 영수증을 이용한 범죄에 악용될 우려가 더욱 커져 빠른 개선이 필요하다는 지적이 잇따랐다.

이에 따라 금융당국은 올해 신한카드, KB국민카드, 삼성카드,현대카드,  롯데카드, 하나SK카드, 우리카드 NH농협카드등 카드사와 카드 단말기업체를 대상으로 신용카드 번호 보호를 제대로 하는지를 상시 감시할 방침이다.

금융당국 관계자는 "카드단말기에서 신용카드 번호와 관련해 서드레인지 규정을 지키지 않으면 관련 업체를 중징계할 것"이라고 말했다.

한편 소비자문제연구소 컨슈머리서치(대표 최현숙)는 지난 11월 26일 국내 10개 카드사의 결제영수증 1천장을 점검한 결과 카드번호 16자리 중 별(*)표로 가리는 마스킹 위치가 모두 제각각이고 이 중 13장에는 카드 유효기간도 표시되는 등 개인 금융 정보가 카드 영수증을 통해 그대로 노출되는데대한 심각성을 지적했다.


다음은 컨슈머리서치 '신용카드 영수증에서 개인정보 줄줄 샌다' 보도자료 전문.

신용카드 결제 영수증을 통해 카드번호, 유효기간 등 개인의 금융 정보가 한순간에 노출될 수 있어 각별한 주의가 필요하다.

카드 영수증에 찍히는 카드번호 중 별(*)표로 표시해 가리는 마스킹 위치가 들쑥날쑥해 영수증 2~3장만 모으면 퍼즐 맞추듯 카드 번호를 완벽하게 조합해 낼 수 있는데다 일부 단말기는 카드번호 전체는 물론 유효기간까지 그대로 노출시켜 도용이나 범죄 이용의 위험이 크기 때문이다. 카드번호와 유효기간만 알면 홈쇼핑, 보험사 등 카드사와 특약을 맺은 업체에서 전화주문 결제가 가능하다.

소비자문제 연구소 컨슈머리서치(대표 최현숙)가 국내 10개 카드사의 결제 영수증 1천 장을 점검한 결과 카드 번호의 마스킹이 모두 제각각이었고 이중 13장에는 카드 유효기간까지 명시돼 있었다. 100장 당 1.3장 꼴로 유효기간이 명시되고 있는 셈이다.

유효기간이 노출된 영수증은 일반 음식점과 커피숍이 9장으로 가장 많았고 다음은 골프장, 동네 병원, 슈퍼 등이었다. 신용카드 번호 마스킹도 카드마다 다른 것은 물론 여러 대의 단말기를 사용하는 업체의 경우 단말기마다도 제각각이었다. 마스킹 번호 개수도 4~8개까지 각기 달랐다. 4개가 444장으로 가장 많았고 이어 8개 340장, 6개 213장이었다. 나머지 3장은 16자리 카드 번호가 모두 노출됐다.


▲ 카드번호 16자리와 유효기간 4자리가 모두 노출된 영수증.


무심결에 영수증을 온전한 형태로 버린다거나 여러 장의 영수증을 보관한 상태에서 지갑이나 보관함을 잃어버릴 경우 카드 정보가 고스란히 노출될 수 있다는 의미다. 범죄 집단의 손에 금융정보가 들어갈 경우 손쉽게 2차, 3차 피해로 이어질 수도 있다.

카드 영수증의 개인정보 관리가 이처럼 허술한 것은 여신금융협회가 지난 2008년부터 카드 정보 유출을 방지하기 위해 카드 단말기업체들에 마스킹 영수증 발급이 가능한 단말기를 만들도록 권고했지만 강제성도 없고 가이드라인도 없어 업체마다 마스킹 위치와 정보 노출 범위를 제각각 설정하고 있기 때문이다.

여신금융협회는 당초 카드 번호 16자리 중 ‘서드 레인지(third range)’라고 불리는 9~12번째 번호를 별(*) 표시로 가리도록 권고했다. 그러나 카드 영수증 1천 장 중 서드 레인지를 마스킹한 영수증은 고작 304장이었고 나머지는 위치가 모두 달랐다.

결국 제대로 된 가이드나 규정 없이 주먹구구식으로 운영되면서 당초 의도한 개인정보 보호효과를 거의 내지 못하고 있는 셈이다. 또 강제성이 없어 카드번호와 유효기간 모두를 가리지 않더라도 제재할 방법도 없다. 심지어 카드번호 마스킹만 언급하고 있을 뿐 유효기간에 대해서는 아무런 권고사항조차 없는 형편이다.

그러나 금융감독원이나 여신금융협회는 포스 단말기 제조업체의 수가 많고, 규모도 영세해 모두 관리할 수 없다며 손을 놓고 있는 입장이다. 여신금융협회 측은 개인의 금융 정보가 노출되는 피해를 막기 위해서 다양한 방법으로 보안 권고를 전달하고 있지만 법적인 강제력이 없기 때문에 어려움을 겪고 있다는 입장이다.

금융감독원도 영세한 단말기 제조업체를 금융당국에서 관리 감독할 수 없는데다 마스킹 권고를 어기더라도 법적인 처벌근거가 없다는 입장을 밝혔다. 지난 8월말 기준 국내 발급된 신용카드 수는 총 1억1천179만 장이고 가맹점은 250만개에 달하고 있다.

컨슈머리서치 최현숙 대표는 “소비자 스스로가 영수증을 제대로 관리해야 하는 것은 맞지만 당국의 무관심으로 전 국민이 사용하고 있는 신용카드의 보안 책임을 소비자에게 떠넘기고 있는 것”이라며 “당국이 카드번호의 블라인드 위치를 통일하고 유효기간을 가릴 수 있도록 시급히 강제 규정을 만들어야 한다”고 지적했다.

이어 “소비자들도 카드 영수증을 함부로 버릴 경우 금융정보가 그대로 노출돼 2, 3차 피해로 이어질 수 있는 만큼 반드시 안전하게 폐기해야하며 특히 여러 장을 모아 한꺼번에 폐기하는 일은 절대로 없어야 한다”고 주의를 당부했다.

[소비자가 만드는 신문=문지혜 기자]


주요기사
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.