10일 여신금융협회와 금융당국에 따르면 이번에 불법 유통된 국내 신용카드 정보는 카드 번호, 유효기간, 세 자리 인증번호(CVC) 등이다. 결제 과정에 꼭 필요한 이 세 가지 정보가 모두 유출된 경우는 전체 피해 건수의 0.001%인 1,000건 이하로 파악됐다. 비밀번호 정보는 유출되지 않았다. 국내 신용카드의 다크웹 불법 유통 사실을 처음 공개한 싱가포르의 사이버보안업체 ‘그룹-IB(GIB)’에 따르면 한국 카드 정보는 1건당 5달러 수준으로 판매된 것으로 알려졌다.
그나마 다행인 점은 이 정보로 실제 금전적 피해나 부정 사용이 발생할 위험이 크지 않다는 사실이다. 이번에 불법 유통된 90만건 가운데 절반(54%) 가량은 이미 유효기간이 만료됐거나 카드 재발급이 이뤄져 실제 사용은 불가능한 정보로 파악됐다. 업계에서는 이번에 불법 유통된 정보가 2015년 전후에 도난된 것으로 보고 있다.
나머지 유효 정보 41만건도 실제 금융 거래에 즉시 악용될 가능성은 낮다고 전문가들은 설명한다. 국내에서도 이미 마그네틱 방식 카드 대신 반도체 칩을 추가 장착해 보안성을 높인 IC카드 거래가 의무화됐기 때문이다. 이번에 불법 유통된 카드 정보의 대부분은 ‘트랙2’라고 부르는 카드의 마그네틱 부분 데이터다. 여기에는 카드 번호, 발급일자, 유효기간 등 결제 과정에 필요한 정보가 저장돼 있는데, 이를 빼내 복제한 마그네틱 방식 카드를 긁으면 실제 카드 소유자가 아니어도 결제가 이뤄질 수 있다. 하지만 2018년 7월 이후로 국내 모든 가맹점에서 IC거래가 의무화된데다, 온라인 결제 때도 본인 인증 절차를 거쳐야 해 복제 카드를 이용한 부정 거래 시도가 성공할 가능성은 낮다는 게 카드업계의 설명이다.
마그네틱 방식 거래가 여전히 이뤄지는 해외에서는 부정 시도가 발생할 수 있다. 카드사들은 이를 차단하기 위해 불법 유통이 확인된 모든 카드 정보를 부정사용방지시스템(FDS)에 반영해 감시를 강화했다. 의심스러운 카드 결제나 평소와 다른 결제 패턴이 감지되면 자동으로 차단하는 시스템이다. 그럼에도 불구하고 부정 사용이 확인될 경우에는 카드사가 전액 보상한다. 카드사들은 또 카드번호와 유효기간, CVC까지 세 가지 정보가 모두 유출된 카드에 대해서는 해외 이용을 제한하고 카드 정지 또는 재발급을 안내할 계획이다.
금융당국과 업계는 보안성이 강화된 IC단말기가 도입되기 이전 마그네틱 카드와 포스(POS)단말기를 통해 카드 정보가 탈취된 것으로 추정하고 있다. 포스단말기를 악성코드에 감염시켜 그 안에 저장된 정보를 빼내는 수법이다. 과거에는 이를 이용한 대규모 정보 침해 사고가 국내외에서 잇따라 발생하면서 IC거래 의무화를 앞당겼다.
국내에서는 보안성이 강화된 IC카드와 IC단말기로 전환이 완료된 만큼 이런 수법의 정보 유출이 재발할 가능성은 낮다는 의견이 많다. 업계 관계자는 “IC단말기는 카드를 꽂으면 즉시 정보가 암호화되고 결제가 완료되면 그 암호화된 정보도 바로 삭제된다”며 “결제하는 순간에 해킹에 성공하더라도 보안 강도가 상당히 높아 암호화가 풀릴 가능성은 거의 없다”고 설명했다. 카드업계는 금융보안원과 함께 정보 유출 경로를 추적하고 의심되는 가맹점이 특정되면 단말기 내 악성코드 침투 여부를 점검해 보안패치를 적용할 계획이다.
다만 해외 온라인 쇼핑 사이트를 통한 유출 위험은 여전히 작지 않은 만큼 사용자들의 주의가 필요하다. 별도 보안 프로그램을 설치하지 않고 카드번호와 유효기간, CVC 등을 모두 입력해 결제하는 방식의 일부 해외 사이트의 경우 해킹 위험에 노출돼 있다.
카드사들은 혹시 모를 사고를 예방하기 위해 카드 정보가 유출된 회원 모두에게 부정 사용 가능성과 관계 없이 이르면 10일부터 도난 사실을 이메일·문자메시지·전화·고지서 중 최소 2개 이상의 채널을 통해 안내할 예정이다. 또 △꽂아서 결제하는 IC카드 거래 생활화 △온라인 결제 비밀번호 정기적으로 변경 △해외 카드사용 중지 서비스 신청 등 부정 사용을 사전에 예방할 수 있는 방법을 숙지해달라고 당부했다.
/빈난새기자 binthere@sedaily.com
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
