Update2024.05.05 (일)
카드 결제 단말기(POS)를 통해 신용·체크카드의 번호와 유효기간이 유출된 것으로 확인됐다.
금융당국은 도난 된 카드 정보만으로 실물 카드를 위조하거나 국내외에서 결제 승인이 불가능해 추가 소비자 피해는 없을 것으로 전망했다. 그럼에도 금융감독원은 소비자들에게 카드 비말번호, 특정 사이트 접속, 앱 설치 등을 요구하는 사기에 주의할 것을 당부했다.
[사진=금융감독원]
26일 금감원에 따르면 경찰청은 여신전문금융업법 위반 혐의를 받는 이 모(41)씨로부터 압수한 USB메모리에서 다량의 카드 정보를 발견하고 지난 9일 금감원에 수사협조를 요청했다. 금감원이 이를 분석한 결과 56만8000개의 유효카드 정보가 도난 피해를 입은 것으로 확인됐다. 이는 모두 2017년 3월 이전에 발급된 카드로, 카드 비밀번호, CVC(카드 뒷면 숫자 3자리), 고객 주민등록번호 등 민감 정보는 도난 피해를 입지 않았다.
경찰에 따르면 이번에 도난된 카드 정보는 이 씨가 가맹점의 POS 단말기를 통해 훔친 것으로 추정된다. 이씨는 2014년 4월에도 POS에 악성 프로그램을 심어 신용카드 정보를 유출한 혐의로 검거됐었다. 금감원은 “어느 지역에서 피해가 발생했고 어떤 경로로 유출됐는지, 도난 카드 정보가 더 있는지 등은 경찰 수사를 통해 밝힐 것”이라고 설명했다.
금감원은 사건 발생 인지 직후 부정사용방지시스템(FDS)의 가동을 강화하는 등 긴급조치를 시행했다. 우선 경찰청으로부터 입수한 카드번호를 금융회사에 즉시 제공했다. 해당 15개 금융회사는 부정사용방지시스템(FDS) 등을 통해 이상 징후가 감지되면 소비자에게 개별적으로 연락을 취하고 승인을 차단하고 있다. 금감원은 사고를 예방하는 차원에서 카드 교체 발급 및 해외 거래 정지 등록 등을 조치하도록 금융회사에 권고했다.
기존 카드정보 유출 사건과 이번 카드번호 도난사건 비교. [사진=금융감독원]
금감원에 따르면 비밀번호 등은 유출되지 않아서 도난당한 카드 번호와 유효기간만으로는 실물 카드를 위조할 수 없다. 온라인 쇼핑몰 등에서 카드로 물건을 살 때도 CVC나 비밀번호, 생년월일 등이 필요해 소비자 피해 가능성은 희박하다.
권민수 금감원 신용정보평가실장 "2018년 7월 모든 POS 단말기가 정보 유출에 취약한 종전의 마그네틱(MS) 방식에서 정보보안 기능이 크게 강화된 IC(집적회로) 방식으로 교체됐다"며 "IC 방식 단말기는 최소한의 카드 정보만 암호화해서 저장하고, 정보 전송 방식도 암호화하기 때문에 소비자 피해가 발생할 가능성은 작다"고 전했다. 또 "해외 온라인 거래 시 일부에서는 카드 번호와 유효기간만으로 결제할 수 있긴 하지만 금융회사의 FDS를 통해 이상징후 거래는 소비자에게 통보하고 승인 차단하고 있다"며 "실제 발생한 소비자 피해 금액은 법에 따라 전액 보상하고 있다"고 설명했다.
금감원은 오히려 이번 사건으로 검찰이나 경찰, 금감원, 카드사 등을 사칭하는 보이스피싱에 주의해야 한다고 강조했다. 권 실장은 “카드 비밀번호 등 금융 거래정보를 요구하고 보안 강화 등을 이유로 특정 사이트에 접속하게 하거나 링크 연결, 애플리케이션(앱) 설치 등을 유도할 경우 모두 100% 사기이므로 유의해야 한다”고 말했다.
김주영 기자
