![[그래픽=아이뉴스24 DB]](https://img-lb.inews24.com/image_joy/202101/1579225532142_1_155406.jpg)
[아이뉴스24 서상혁 기자] 지난 연말 국민들의 등골을 서늘하게 만들었던 카드 정보 다크웹 유출 사태가 아직 정리되지 않는 모습이다. 카드사들은 카드 사용자들에게 재발급 절차 등을 안내하고 있는데, 유출된 카드들의 유효기간이 모두 만료되는 최장 2023년까지는 이런 번거로운 절차가 이어질 전망이다.
20일 금융위원회와 금융보안원 등에 따르면 현재까지 다크웹에 유출된 카드정보는 모두 100만건으로 확인됐다.
카드 정보 유출 사태가 수면 위로 떠오른 것은 지난 해 11월 22일이다. 신원이 알려지지 않은 해커는 이랜드 그룹의 사내 시스템을 공격해 고객의 카드 정보를 탈취했다고 주장하며 회사 측에 4천만달러(약 445억원)를 요구한 것으로 알려졌다. 이랜드 측과 협상이 결렬되자 이들은 지난 해 12월 초부터 신용카드 정보를 다크웹에 유출하기 시작했다.
이들이 탈취했다고 주장하는 정보가 실제 이랜드 전산망에서 나온 고객 정보인지, 기존 다크웹에 퍼져있던 정보인지는 아직 밝혀지지 않았다. 해당 내용에 대해선 경찰 수사가 진행되고 있다. 이랜드 측은 "범죄 집단과의 협상은 없으며, 경찰 수사에 협조하고 있다"라고 밝혔다.
그간 카드사들은 유출된 카드정보를 분석해 해당 카드가 유효한지 여부를 거르는 작업을 진행해왔다. 현재는 얼추 작업이 끝난 상태로, 금융위에 따르면 전체 유출 정보 100만건 중 13만여건이 실제 사용중인 카드로 추정된다. 나머지는 재발급, 유효기간 경과 등으로 사용하지 않거나 기존에 이미 불법유통으로 정지된 카드들이다.
금융위 관계자는 "약간의 오차는 있지만 전체의 13% 정도가 유출된 정보가 유효한 카드로 분석된다"라며 "현재 카드사들이 지속적으로 고객들에게 안내를 진행하고 있다"라고 밝혔다.
금융당국은 상황이 정리가 되면 관계부처와 협의 후 그간의 분석 결과를 발표할 예정이다. 다만 해커들이 탈취했다고 주장하는 정보들이 200만건인 만큼, 발표 시기를 섣불리 예단하기 어렵다는 입장이다.
◆ 카드사·고객 모두 불편…"2023년까진 어쩔 수 없다"
카드사들은 관련 규정에 따라 고객에게 정보 유출 사실을 문자, 이메일, 전화 등의 방법으로 안내하고 있다. 고객의 요청이 있다면 카드를 재발급해줘야 한다.
대부분의 고객은 불안감으로 인해 재발급을 요청하는 것으로 알려졌는데, 카드사로선 무시하지 못할 비용 요인이다. 카드 플레이트와 배송비 등 평균적인 카드 재발급 비용은 건당 1만원 수준이며, 문자 메시지 등의 비용은 건당 30원 정도다.
카드 정보가 유출된 고객 입장에서도 번거로움이 크다. 유출된 카드정보로 부정사용 피해를 입을 경우 관련 법에 따라 전액 보상을 받을 수 있으나 불안한 게 사실이다. 게다가 유출된 카드 정보가 단종 상품이라면 카드사에 따라서 유효기간 내 재발급이 불가능할 수도 있다.
업계는 적어도 2023년까지는 이 같은 카드정보 유출에 따른 안내 및 재발급 절차가 이어질 것으로 보고 있다.
카드 정보들은 집적회로(IC)칩 단말기 사용을 의무화하기 전인 2018년 7월 20일 이전에 유출된 것으로 추정되는데, 신용카드의 유효기간이 5년임을 감안하면 최장 2023년 7월20일까지는 이 카드들이 사용될 수 있기 때문이다.
다만 금융당국은 긁어서 결제하는 마그네틱(MS) 방식 단말기가 해킹에 무력하고 보안성이 취약하다는 이유로 2018년 7월20일 이후 사용하지 못하게 했다. 현재 결제에 사용되는 IC칩 단말기는 카드 정보를 암호화해 저장·전송하기 때문에 때문에 해킹을 당한다고 해도 부정결제 가능성이 사실상 없어 상대적으로 안전하다.
◆ 해외 직구 이용할 땐 '가상카드 발급 서비스' 꼭 챙기세요
다행히 현재 유출된 카드 정보만 가지고는 온라인이나 오프라인에서 결제를 할 수 없는 것으로 알려졌다.
이번에 유출된 정보들엔 카드번호와 유효기간 등이 포함돼 있으며, 온라인 결제를 위해 필요한 CVC정보, 카드 뒷면 7자리 중 3자리 숫자 등의 코드와 비밀번호는 공개되지 않았다. 또한 오프라인 결제도 카드를 포스기에 꽂는 IC칩 방식만 가능하기 때문에 유출된 정보만으로는 결제가 불가능하다.
하지만 부정사용 가능성이 아예 없는 것은 아니다. 국내가 아닌 해외 직구 사이트 등에선 카드번호, 유효기간, CVC 코드만 입력하면 바로 결제가 가능한 곳이 많은데, 추후 정보 유출 범위에 따라 부정 결제 가능성이 높아질 수도 있다.
이를 막기 위해 금융당국과 카드사는 이달부터 '가상카드 발급 서비스' 운영을 시작했다. 일정 기간 사용할 수 있는 가상 카드를 발급받는 서비스인데, 결제 한도와 결제 횟수, 유효기간을 고객이 설정할 수 있다. 카드번호, 유효기간, CVC코드도 임의로 생성돼 혹여나 유출이 돼도 부정 사용 가능성이 낮다.
카드업계 관계자는 "근본적인 문제를 해결하진 못해도, 부정사용 가능성을 상당히 낮출 방법"이라며 "해외 직구 이용하는 분들 중 다수가 이 서비스를 모르고 있는데, 좀 더 홍보가 많이 될 필요가 있어 보인다"라고 말했다.
서상혁 기자 hyuk@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기