키프트카드 정보가 유출된 카드사들이 피해 금액이 늘어날까 우려하고 있다. 기프트 카드의 특성상 실제 피해를 받지 않았지만 고객이 피해를 받았다고 주장할 경우 카드사가 이를 판단하기 어렵기 때문이다.
21일 금융권에 따르면 국내 카드사 두 곳의 기프트카드 정보가 유출돼 피해가 발생했다. 문제는 실제로 피해를 받지 않았지만, 고객이 피해를 받았다고 주장할 경우 카드사는 그대로 고객에게 돈을 돌려줘야 한다는 것이다. 이 때문에 해킹을 당한 두 곳의 카드사는 예상 금액보다 피해 금액이 늘어날까 걱정하고 있다.
또한, 이들 카드사는 기프트카드 정보가 유출된지 한 달이 넘었지만 쉬쉬하면서 피해자들의 기프트카드 피해금액을 몰래 채워 넣은 것으로 알려지면서 카드사들이 사고를 은폐하려 했다는 의혹이 제기되고 있다. 이들은 지난해 12월에 이미 기프트 카드 해킹 문제를 알고 있었지만, 민원이 접수된 지난달 초까지 고객과 금감원에 알리지 않았다. 게다가 두 회사는 해커들에게 피해를 받은 것으로 추정되는 카드에 조용히 돈을 채워 넣은 것으로 알려졌다.
금융감독원에 따르면 중국 범죄조직은 국내 카드사 두 곳의 홈페이지에 접속해 무작위로 카드번호와 CVC번호를 입력하는 방법으로 카드정보를 빼냈다. 기프트 카드의 잔액조회 횟수 제한이 없는 점을 이용한 것이다. 경찰 조사에 따르면 이 조직은 총 3억5000만원에 달하는 50만원권 선불카드 수백 장의 카드정보를 빼냈다.
현재까지 파악된 피해는 A사가 500만원(10여 건), B사가 990만원(20여 건)이다. 이는 민원으로 파악된 피해인데 앞으로 피해는 더 늘어날 수 있다. 해당 카드사들은 해당 피해액도 전액 보상한다는 방침이다.
문제는 피해액이 눈덩이처럼 불어날 수 있다는 것이다. 실제로 피해를 받지 않았지만, 고객이 피해를 받았다고 주장할 경우 카드사는 별다른 대책이 없다. 오프라인의 경우 가맹점을 통해 사용 이력을 확인할 수 있지만, 온라인의 경우 사용 이력을 확인하더라도 고객이 본인이 아니라고 주장할 경우 카드사는 속수무책이다.
카드사 관계자는 "기프트 카드 특성상 실제 사용자가 누군지 확인 할 수 없고 온라인의 경우 카드사가 사용자를 확인 할 수 있는 방법은 없다"며 "실제 피해받지 않은 고객이 해킹 당했다고 주장해도 손쓸 방법이 없다"고 말했다.
해킹 사고가 나자 금감원과 여신협회는 사태 수습에 나섰다. 금감원은 카드사 및 은행에 무한 반복적인 입력 시도를 통한 카드정보 탈취 사고사례를 지도공문으로 전파하고 선불카드(기프트카드) 사용을 위한 등록·조회 시 카드정보 입력 오류가 일정 횟수 이상 발생하는 경우 카드 등록·조회를 차단하는 등 보안대책을 적용하도록 조치했다.
여신협회도 실물 카드의 경우 CVC번호와 마그네틱선 일부를 보안스티커로 막아 이미 사용된 카드가 유통되지 않도록 한다는 방침이다.
기프트 카드 해킹 사고가 발생하자 여신협회는 실물카드의 CVC번호 및 마그네틱선 일부를 보안스티커로 가리는 방안을 마련 중에 있다. 사진/여신협회
이종호 기자 sun1265@etomato.com