기프트카드 정보유출된 카드사…또 불거지는 보안 문제

카드사들의 안일한 보안대책이 개선될 기미를 보이지 않고 있다. 2년 전 대규모 고객정보 유출 사태로 홍역을 치른 카드업계가 이번에는 ‘기프트카드’의 정보유출 사건으로 보안 시스템의 허점을 드러냈다.

21일 업계에서는 카드사 기프트카드 정보유출 사건과 관련해 카드사에 대한 소비자들의 부정적인 인식이 악화될 수도 있다는 우려가 커지고 있다. 업계 관계자는 “카드 3사의 대규모 정보유출 사태 이후에도 보안 문제가 꾸준히 지적되고 있다”면서 “카드업계에서도 엄격한 보안관리로 신뢰를 쌓아야 한다는 주장이 나오고 있다”고 말했다.

이번 사건은 지난해 12월부터 올해 1월 초까지 중국 해커들이 일부 카드사 홈페이지의 기프트카드 잔액 조회 서비스에서 잘못된 번호를 입력해도 제한 장치가 없다는 점을 악용, 정보를 빼낸 사건이다.

기프트카드는 50만원 한도로 발행되는 무기명 선불카드로 카드번호와 유효기간, 카드보안코드(CVC) 등의 카드정보만으로도 온라인 결제가 가능하다. 중국 해커들은 국내 은행에서 구입한 기프트카드를 토대로 다른 기프트카드의 번호와 유효기간을 유추하고, 카드보안코드(CVC)는 홈페이지에서 무작위로 세자릿수의 번호를 입력하는 방식으로 알아냈다.

고객들의 정보가 유출된 것은 아니지만 단순히 숫자를 임의로 조합해서 정보를 빼냈다는 점에서 카드사들의 보안시스템이 허술했다는 지적이 나온다.

2014년 카드 3사에서 약 1억건에 달하는 대규모 고객정보 유출 사고가 일어난 이후에도 카드 불법도용 사건 등이 지속적으로 발생하고 있다. 기프트카드의 정보를 미리 빼내 온라인에서 결제하는 사기 사건도 종종 발생했다.

여기에 가맹점들의 IC단말기 전환이 아직 진행 중이라는 점에서 카드 부정사용에 대한 우려도 계속된다. IC단말기보다 상대적으로 보안에 취약한 포스(POS) 단말기를 사용할 경우 신용카드 정보가 불법으로 복제될 가능성이 여전하기 때문이다.

금융사의 보안 시스템을 점검하고 문제점을 사전에 파악할 수 있는 금융당국의 역할이 필요하다는 주장도 나온다. 단순히 보안 문제를 카드사들에게만 떠넘길 것이 아니라 금융당국이 사전에 보안시스템 점검 등으로 문제를 파악할 수 있는 전문성을 갖춰야 한다는 것이다.

조남희 금융소비자원장은 “이번 기프트카드의 정보 유출 사고는 1차적으로 카드사들의 잘못이 있는 것은 맞지만 금융당국이 이와 관련된 문제를 미리 파악하지 못한 것이 문제”라며 “보안 사고 발생의 가능성에 대해서 당국이 사전체크를 통해 미리 파악하는 등 감독의 전문성이 필요한데 이 부분이 부족했던 것”이라고 말했다.