[소비자가 만드는 신문=임민희 기자] 최근 신용카드 회원정보가 해킹으로 대거 유출되는 등 허술한 보안시스템 문제가 또 다시 도마 위에 오르면서 카드 보안 대책 마련이 시급하다는 지적이 일고 있다.
금융감독원에 따르면 지난해 12월부터 올해 1월 초까지 카드사용 내역을 관리하는 포스(POS) 시스템이 해킹 당해 프랜차이즈 음식점 2곳에서 카드를 쓴 소비자들의 개인정보가 대거 유출됐다. 이로 인해 복제카드 등 부정사용된 결제건수가 현재까지 460여건 1억9천만원에 이르고 있다.
또한 30만원 미만의 온라인 신용카드 결제시스템 '안심클릭'(소액결제 시스템)도 해킹을 당해 신한․삼성․현대․롯데카드 4곳의 130개 카드 1천800여 건 이상이 부정사용돼 현재까지 1억7천만원의 피해가 발생했다.
경찰청 사이버테러대응센터와 금융감독원 등은 원인과 대책마련에 주력, 중국 해커조직 등 국제범죄 조직의 소행으로 보고 수사를 확대하고 있지만 IP주소 세탁 등으로 추적에 어려움을 겪고 있다. 이렇듯 해커들의 범죄 수법은 날로 지능화, 조직화되고 있지만 국내 카드 보안시스템은 매번 속수무책으로 당하고 있어 소비자들의 불안감이 가중되고 있다.
지능화되는 신용카드 범죄, 보안시스템은 속수무책
최근 발생하고 있는 신용카드 범죄 양상은 과거 분실카드 불법사용이나 명의도용 수준을 넘어 국내외 해킹 전문 범죄 집단 개입 등 날로 지능화되고 조직적인 행태를 보이고 있다. 이번 POS시스템과 안심클릭 시스템도 취약한 보안문제로 인해 종종 고객의 개인정보가 유출되는 등 전문해커들의 범죄의 타켓이 되어 왔다.
P0S 단말기는 백화점, 할인점, 음식점 등 중대형 가맹점과 소형 가맹점에서 쓰이는 카드결제 시스템으로 고객이 카드로 결제할 때 단말기에 연결된 컴퓨터에 카드 결제 내역과 정보가 자동 저장된다. 밴(VAN 부가가치통신망)사와 카드사 간 카드결제 기능은 물론 매출, 정산 등 판매관리 기능을 동시에 제공한다.
카드결제 건수 기준으로 POS 단말기는 전체의 40%를 차지할 만큼 보편화되어 있지만 중소형 가맹점의 취약한 보안 문제는 줄곧 위험성이 지적돼왔다.
2008년 4월에는 POS 단말기 카드내역이 유출돼 310건 1억6천만원이 결제됐고 지난해 8~9월에도 일부 해커가 동일한 수법으로 복제카드를 만든 후 7천800만원을 결제한 사건이 발생한 바 있다.
인터넷 쇼핑몰 등의 온라인 카드결제 시스템도 취약하기는 마찬가지. 신용카드로 온라인 결제시 30만원 이상일 경우 공인인증서를 사용하지만 30만원 미만일 경우 고객의 편의를 고려해 '안심클릭' 인증제 또는 안전결제(ISP) 서비스를 사용하고 있다. 안심클릭 비밀번호와 카드번호, 그리고 카드 고유번호의 뒷 3자리인 CVC번호 3가지만 입력하면 카드 결제가 승인된다.
온라인상에서 몇 초 만에 수십 건의 카드결제가 이뤄지고 있지만 불법사용 여부를 확인할 수 없다는 점을 노린 해커들이 개인PC나 이메일에 저장돼 있던 카드정보를 해킹한 뒤 안심클릭 서비스에 접속해 게임 머니를 집중적으로 사들여 현금화하는 수법으로 범죄를 저지르고 있다.
카드사 소극적 대응, 피해규모 축소 빈축
이같은 조직적인 범죄가 늘어나고 있음에도 카드사들은 정확한 피해규모에 대해 “아직 파악 중”이라며 최대한 말을 아꼈다.
신한카드 관계자는 "POS는 현재 수사가 진행 중이고 당사만의 문제가 아니기 때문에 금융당국과 다른 카드사 등과 공동으로 대응하고 있다"며 "안심클릭 부분도 피해사례나 민원성 등 실질적으로 해킹으로 인한 피해인지 판단이 안 돼 정확한 피해규모를 알 수 없다"고 말했다. 롯데카드 관계자도 "사태를 파악 중인데 현재로선 정확한 피해규모를 알 수 없다"고 난색을 표했다.
카드사들이 대책마련에 나서기 보다는 피해규모를 줄이거나 축소하는데 급급하다는 빈축을 사고 있는 부분이다. 특히 온라인 거래의 경우 카드사가 PG사(온라인 가맹점을 모집, 관리하고 가맹점과 카드사의 대금결제를 중재)에게 피해발생시 책임을 물도록 계약을 체결하고 있어 불공정거래 의혹도 일고 있다.
카드사들은 이에 대해서도 "PG사에게 일방적으로 책임을 지우는 것은 아니고 현재 수사 중이기 때문에 정확한 원인이 밝혀지면 대응할 것"이라고 즉답을 피했다.
공인인증제 확대 등 보안체계 구축 필요
한편, 금융감독원은 여신금융협회와 카드사, 밴사 등이 참여하는 태스크포스(TF)를 운영해 보안프로그램 개발과 방화벽 강화 등 대응책 마련에 나섰다.
여신금융협회 백승범 홍보팀장은 "POS 단말기의 경우 공동으로 대책을 논의하고 있지만 온라인 안심클릭 문제는 처음 겪는 일이라 현재 원인 파악에 주력하고 있다"며 "고객 승인을 받은 후 공인인증서를 통해 최종 결제하는 방법 등 여러 방안을 논의 중인데 원인과 피해규모에 대한 최종 수사결과가 나오는 대로 대책을 마련할 생각"이라고 밝혔다.
금융감독원 노시원 여신전문서비스실 카드 1팀장은 "밴사의 보안시스템 강화나 카드결제 승인 시 공인인증제를 통하는 방법 등 다방면으로 대책을 마련 중"이라며 "현재 태스크포스 운영은 매주 1회 진행하고 있는데 적어도 올해 2월말까지 앞당길 생각"이라고 밝혔다.
노 팀장은 "안심클릭의 경우 해킹 후 복제카드로 결제 되도 휴대폰 SMS로 사용결제 내역이 뜨고 고객이 바로 카드사에 신고하면 이를 추적해 피해를 막을 수 있기 때문에 실제 고객이 입는 피해는 없다"고 말했다.
카드관련 전문가들은 해킹 등 점차 지능화하는 신용카드 사이버범죄를 예방하기 위한 전방위적인 보안대책 수립을 촉구하고 있다. 하지만 매번 그렇듯이 지속적으로 신용카드 정보유출 사건이 발생하는 상황에서 이번 사건을 계기로 국내의 보안시스템이 얼마만큼 강화될 수 있을지는 미지수다.
한 카드사 관계자는 "IC카드도 완벽한 보안카드라고 출시됐지만 결국 허점이 드러났듯이 이 세상에 완전한 보안시스템은 없다"며 "개인 PC에 공인인증서를 저장하지 않고 USB(이동식 메모리)에 보관, 해킹방지프로그램 설치 등 소비자 스스로가 개인정보 관리에 철저히 하는 것이 최선의 보안"이라고 주의를 당부했다.
