해킹으로 일부 카드사의 기프트카드 정보가 유출됐다.
금융감독원(원장 진웅섭)은 이미 내사중인 사건이라며, 2월 현재로서는 카드사들이 보완대책을 마련해 적용한 상황이라고 밝혔다. 피해 금액은 여신전문금융업법에 의거 전액 보상이 가능하다고 한다.
금감원과 경찰에 따르면 중국의 한 해커조직은 지난해 12월부터 올해 1월까지 국내 대형 카드사 2곳의 홈페이지에서 고객에게 발급된 기프트카드 수 백장의 CVC(유효성 확인코드) 번호를 알아냈다.
이 조직은 고객이 카드사 홈페이지에서 기프트 카드를 등록하거나 잔액 조회를 할 때 CVC 번호를 무제한으로 입력할 수 있다는 점을 알아내고 홈페이지를 해킹해 카드번호, 유효기간, CVC 번호 등 카드 정보를 알아냈다.
신용카드는 비밀번호를 3~5회 연속으로 틀리게 입력 시 서비스를 이용할 수 없다. 이와 달리 무기명으로 구입할 수 있는 기프트 카드는 비밀번호 입력 제한이 없어 해킹에 쉽게 노출됐다.
해당 카드사들은 기프트카드가 누구나 사용할 수 있는 무기명 카드이기 때문에 CVC 번호를 여러 명이 사용할 때 불편을 겪을 수 있어 비밀번호 입력 제한을 두지 않은 것으로 알려졌다.
이들 조직은 기프트카드 정보를 탈취해 온라인 쇼핑몰에서 상품권을 구입해 부정 사용한 것으로 확인됐다. 경찰과 금감원은 피해액이 약 3억 원으로 추정했다.
한편 금융당국은 지난 달 29일 카드사와 은행에 무한 반복적인 입력 시도를 통한 카드정보 탈취 사고사례를 지도공문으로 전파하고 카드 정보입력 오류 시 제한을 두는 등 보안 대책을 추가로 적용시켰다.
우선 기프트카드 온라인 조회시 카드정보 입력 오류가 일정횟수 이상 발생시 이용을 차단시키며 은행 영업점에서 대면 접촉 후 이용할 수 있다.
이미 피해를 입은 소비자에게 대해 여신금융협회 측은 '위·변조 등 부정한 방법으로 카드 사용시 카드사가 책임진다'는 여전법 16조에 의거 카드사가 전액 보상하기 때문에 소비자의 금전적 피해는 없다고 밝혔다.
또한 협회 측은 기프트 카드는 고객정보가 없는 '무기명'이 대부분이기 때문에 유출된 개인정보는 전혀 없다고 전했다.
[소비자가만드는신문=김건우 기자]
