신한·삼성·현대·롯데카드 등 국내 4개 신용카드를 이용하는 고객들의 결제정보가 대거 유출되면서 책임 공방이 뜨겁게 달아오르고 있다.
4개 카드사 모두 '안심클릭' 서비스를 이용한다는 점에서 전자지불(PG)업체가 책임을 물어야 한다는 주장과 고객정보 관리에 소홀한 카드사의 과실이 크다는 의견이 맞서고 있는 것. 여기에 피해자가 카드 정보 관리에 소홀했을 가능성도 제기돼 논란이 확산되고 있다.
26일 서울지방경찰청 사이버범죄수사대는 국내 4개 카드사 부정결제 피해에 대한 수사를 본격화하는 한편 카드사 및 전자지불(PG)업체의 과실 여부는 없는 지 조사하고 있다고 밝혔다.
사이버범죄수사대 수사5팀 장진욱 팀장은 "중국 인터넷주소(IP)에서 부정결제를 시도한 정황이 일부 포착됐다"며 "해커 검거에 수사력을 집중하는 한편 PG업체 및 카드사의 과실 여부는 없는지 조사중"이라고 말했다.
◆결제정보 유출 과정 '의혹'
경찰에 따르면 지난해 10월부터 최근까지 4개 신용카드사에 대한 부정결제 피해가 지속적으로 발생한 것으로 나타났다. 지금까지 알려진 피해 건수는 1천800여건, 피해액만 1억7천만원에 이를 정도다.
특히 해커는 전자결제시 공인인증서가 필요 없는 온라인 안심클릭 서비스의 맹점을 악용했다. 안심클릭 서비스는 30만원 미만의 소액결제시 활용되며, 안심클릭 비밀번호, 카드번호, 카드 고유번호 뒷 3자리인 카드인증코드(CVC)만 알면 결제가 승인된다.
한 보안전문가는 "다양한 공격 시나리오가 있겠지만, 카드번호와 CVC를 수집하는 것은 그리 어려운 일이 아니다"며 "음식점 등에서 직접 카드로 결제할 때 해당 정보를 얼마든지 쉽게 파악할 수 있다"고 지적했다.
이외에도 해커가 안심클릭 서비스를 통해 부정결제를 하기 위해서는 안심클릭 비밀번호를 알아야 하는데 이 역시 그리 어려운 일은 아니라는 주장이다.
일부 카드사에서는 안심클릭 비밀번호 지정 시 이용자가 기억하지 못할 경우를 대비해 안심클릭 비밀번호 힌트를 저장하도록 하고 있다.
하지만 상당수 이용자가 안심클릭 비밀번호 힌트에 실제 사용중인 비밀번호를 그대로 지정하고 있어 이미 카드정보를 획득한 해커가 비밀번호를 파악하기가 쉬운 실정이다.
만약 해커가 개인정보 유출을 위해 악성코드를 제작한 후 이를 사용자 PC에 심어 상당수 개인정보를 이미 획득한 상황이라면, 범행은 더욱 쉬울 수밖에 없다.
보안업계 관계자는 "PC나 이메일 등에 저장한 개인정보가 해킹에 의해 유출됐을 확률이 높다"며 "이 경우 2, 3차 피해로 확산될 수 있어 각별한 주의가 필요하다"고 말했다.
◆카드사 "고객 DB 해킹 가능성 없어"
일각에서는 이번에 피해를 당한 카드업체가 모두 안심클릭 서비스를 활용하고 있다는 점에서 PG사 서버 해킹 가능성을 제기하고 나섰다.
또 고객 DB가 제각각이기 때문에 카드사의 직접적인 해킹 가능성은 상당히 낮다는 주장이다.
피해자들은 신한·삼성·현대·롯데카드의 고객 DB가 해킹됐을 가능성도 배제할 수는 없다는 의견이다. 만약 카드사의 고객 DB가 해킹됐다면 피해는 일파만파 확산될 우려가 크다.
이에 대해 PG사와 카드사는 해킹에 대한 피해를 떠넘기고 있는 상황. PG사 관계자는 "카드사와 계약을 맺을 때 온라인 거래시 피해가 발생하면 책임을 PG사가 물도록 하는 것이 업계 관행"이라며 "카드사의 과실이 있더라도 PG사가 책임을 지는 경우도 있다"고 지적했다.
반면 해당 카드사들은 즉각 반발하고 있다. 이번 사고의 경우 자체 조사 결과 고객 DB 해킹은 없는 것으로 확인됐다는 것.
사이버범죄수사대 수사5팀 장진욱 팀장은 "현재 카드사로부터 접속 정보 등의 자료를 넘겨받아 부정결제가 이뤄진 진원지 등을 파악하고 있는 단계"라며 "모든 가능성을 열어두고 수사중"이라고 말했다.
서소정기자 ssj6@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기