◇ 허술한 보안 노린 중국 해커에 정보 털렸다  

금융권에 따르면 지난해 12월에서 1월 중순, 국내 카드사 2곳의 홈페이지 잔액조회 서비스를 통해 기프트카드 수백 장의 정보가 유출되는 사고가 발생했다. 최근 경찰은 이 같은 범죄에 연루된 일당 9명을 붙잡아 수사 중이다 .

사고가 발생한 카드사 2곳이다. 유출된 ‘기프트 카드’는 ‘50만 원’ 권으로, 피해액은 3억 원이 넘을 것으로 추정되고 있다. 

중국 해커 조직은 카드사 홈페이지에 숫자를 무작위로 입력해 카드번호와 유효기간, CVC(고유번호)를 빼낸 것으로 알려진다. 이들은 이들 카드사의 보안상의 허점을 노렸다.

이들 카드사는 다른 곳과 달리 CVC번호를 무제한으로 입력해 잔액조회가 가능했다. 통상 비밀번호 입력의 경우 3~5회 연속 틀릴 경우 접속을 제한하는 등의 보안상의 안전장치가 있는데, 이들 카드사에게는 없었던 것이다.

중국 해커 조직은 이렇게 빼낸 정보를 국내 카드범죄 조직에 넘기고 수수료 명목으로 2억8,000만 원 가량을 입금 받은 것으로 조사됐다. 이를 넘겨받은 국내 카드범죄 조직의 이모(23) 씨는 넘겨받은 기프트카드 정보를 이용해 온라인에서 모바일 상품권을 구입하고 이를 되팔아 모두 현금화했다.

해당 카드사들은 지난달 한 피해자가 민원을 제기하며 경찰에 신고할 때까지 이 같은 사실을 인지하지 못했던 것으로 알려진다. 그리고는 사건이 터진 뒤에야 뒤늦게 조회 횟수 제한 등의 보안상의 시스템을 강화한 것으로 확인됐다.

현재까지 확인된 피해 규모는 약 1,500만 원가량. 하지만 이는 고객이 민원을 제기해 파악된 규모라는 점에서 피해 액수는 더 클 것으로 관측되고 있다. 중국 해커에게 건너간 금액을 감안하면 최소 3억원대에 달할 것으로 추정되고 있는 것이다. 

지난 2014년에 이어 또 다시 허술한 보안 관리로 ‘정보유출 사고’가 터졌다는 점에서 업계에 적잖은 파문이 예상된다. 유출 사고가 터진 카드사들 역시 신인도에 상당한 타격이 예상된다.

이에 대해 A카드 관계자는 “기프트카드는 무기명선불카드로 선물 등으로 소유권자가 바뀔 수 있다는 점을 고려해 고객 편의 차원에서 CVC오류를 제한하지 않았다”며 “현재 보안 강화 조치를 완료했으며, 피해규모를 확인해 보상 조치를 할 방침”이라고 밝혔다.  

또 B카드 관계자도 “현재까지 10여건, 500만원 규모의 피해를 확인한 상태며, 조회 횟수 제한 등 보안 상의 시스템을 강화했다. 기프트카드는 고객 정보가 없어 이번 사고로 유출된 개인정보는 없다”고 말했다.

한편 카드사들은 이번 사고를 계기로 기프트카드와 관련 보안시스템을 대폭 강화하기로 했다. 정보 조회 횟수를 제한하는 것은 물론 기프트카드 정보를 보안스티커로 가리는 방안을 마련키로 했다.