잊을 만하면 카드 정보 유출… 왜 근절 안 되나

2014년 초 카드 정보 1억건 유출 사건으로 온 나라가 떠들썩했음에도 고객 정보 도용 사건이 끊이지 않는 데는 나날이 지능화되는 범죄 수법에도 원인이 있지만 매번 소 잃고 외양간 고치는 카드사들의 ‘보안 불감증’ 탓이 더 크다. KB국민카드와 비씨카드의 고객 정보 유출도 ‘선(先) 사고 후(後) 조치’를 보여 주는 전형적인 사례다.

정보를 빼내 간 수법 자체는 새로울 것이 없었다. PC에 악성 코드를 심어 둔 뒤 바이러스에 감염된 좀비PC를 원격 조종한 것으로 추정된다. 이렇게 빼돌려진 개인 정보에는 공인인증서 비밀번호, 인터넷일반결제서비스(ISP) 비밀번호 등이 고스란히 담겨 있었다.

불법 결제 대상으로 삼은 수단도 ‘고전적’이다. 상품권깡을 한 것이다. 상품권은 현금화가 쉬워 게임 사이트의 ‘게임 머니’와 마찬가지로 불법 결제에 빈번히 악용된다. 이 때문에 대다수 카드사는 대형 온라인 쇼핑몰에서 상품권을 구매하는 경우에도 추가 인증 절차를 거치도록 하고 있다. 휴대전화 문자메시지(SMS)나 휴대전화 자동응답서비스(ARS), 공인인증서 등 추가 인증을 거쳐야 상품권을 살 수 있게 한 것이다. 현대카드는 온라인 쇼핑몰에서 신용카드로 상품권을 아예 구매하지 못하도록 원천 봉쇄하고 있다.

반면 KB국민카드와 비씨카드는 대형 온라인 쇼핑몰에서의 추가 인증 절차조차 마련해 두지 않았다가 당했다. KB국민카드 관계자는 “대형 온라인 쇼핑몰에서 상품권을 구매할 때 추가 인증을 도입하려면 쇼핑몰의 허가가 있어야 한다”면서 “(대형 온라인 쇼핑몰은) 카드사에는 ‘갑’이라 (이런 요구를 하기에) 어려움이 있다”고 해명했다.

사고가 터지자 KB국민카드와 비씨카드는 뒤늦게 추가 인증 장치를 도입했다. BC카드는 지난 1월, KB국민카드는 2월에 각각 대형 온라인 쇼핑몰에서도 추가 인증을 거치도록 했다. 일부 쇼핑몰은 상품권 결제를 아예 차단했다.

추후 책임 소재를 두고 고객과 카드사 간 책임 공방이 불거질 가능성도 있다. 금융감독원 관계자는 “불법 결제가 바이러스에 감염된 좀비PC로 이뤄진 것인지 아니면 카드를 소유한 고객이 직접 결제한 것인지는 (비대면 거래의 특성상) 책임 소재를 명확히 따져야 할 것”이라고 지적했다.

금융 당국은 지난 15일 카드사 정보보안 책임자를 소집해 ‘공동 대응’을 주문했다. 고객 정보를 도용한 불법 결제 수법이 국경을 넘어 지능화, 조직화되고 있다는 판단에서다. 금감원 측은 “범죄 수법이 날로 진화하고 있어서 이를 예측하고 차단하기는 현실적으로 어렵다”며 “한 카드사에 피해가 발생하면 이를 업계 전체가 공유해 추가 피해를 막아야 한다”고 강조했다.

전문가들은 보안 정비뿐만 아니라 사후 책임도 더 강화해야 한다고 말한다. 김상봉 한성대 경제학과 교수는 “기업들은 대부분 정보보안 예산을 투자보다는 비용으로 인식해 최소 규제만 지키려는 경향이 강하다”면서 “정보 유출이나 보안 미비로 사고가 발생했을 때에는 법적 책임을 강하게 물어야 한다”고 주장했다.

이유미 기자 yium@seoul.co.kr