편의점과 대형마트 등에 설치된 일부 ATM(자동화기기)이 악성코드에 감염돼 은행과 카드사의 2500여개 카드정보가 유출됐다. 일부 해외 국가에선 복제카드를 활용한 부정인출 사실도 확인됐다. 피해 사례가 더 늘어날 가능성이 있다. 금융감독당국은 소비자들의 금전 피해는 금융회사가 전액 보상하도록 했다.

20일 경찰청과 금융감독원에 따르면, 결제대행업체(VAN사)인 청호이지캐쉬가 운영하는 ATM 63대가 최근 악성코드에 감염돼 경찰 수사와 금감원 조사가 진행 중이다. 경찰은 해커들이 전산망에 악성 코드를 설치하고 제어(C&C) 서버로 카드정보와 카드 소유자 개인정보, 은행 계좌번호 등을 빼돌린 것으로 추정하고 있다. 현재까지 해커 주도 세력은 확인되지 않고 있으며 경찰이 IP 추적 등을 수사를 진행 중이다.

금감원은 경찰청으로부터 관련 사고 정보를 입수하고 지난 15일 63개 ATM을 이용한 적이 있어 정보유출 가능성이 일부라도 있는 2500여개 카드(은행 직불카드 및 카드사 신용·체크카드) 정보를 35개 해당 금융회사에 즉시 전달했다.

아울러 16개 은행을 소집(카드사는 개별통보)해 해외 ATM에서 해당 카드정보를 이용한 마그네틱 카드의 현금인출을 차단하고 부정사용에 대한 모니터링을 강화했다. 해외에서 카드가 복제될 가능성에 대비해 추가 인증 조치도 취했다.

조사 결과 지금까지 대만 등에서 해외 ATM을 통해 300만원 가량이 부정인출된 것으로 확인됐다. 중국과 태국에선 부정인출 시도가 있었으나 승인 과정에서 차단됐다. 국내에서도 위장 가맹점을 통한 카드 부정승인이 일부 있었다고 금감원은 설명했다. 금감원 관계자는 "2015년 6월부터 국내에서 마그네틱 신용카드를 사용한 현금인출은 불가하다"고 설명했다. 그러나 경찰과 금감원 조사 과정에서 소비자 피해가 추가로 확인될 가능성도 있다.

금융회사들은 카드정보 유출로 인한 부정인출, 부정사용 등 소비자의 금전적 피해가 일절 발생하지 않도록 조치할 계획이다. 이미 발생한 부정인출로 인한 소비자 피해도 카드사가 전액 보상하기로 했다. 전자금융거래법(제9조)과 여신전문금융업법(제16조)은 신용카드의 위·변조로 발생한 사고로 인해 카드회원에게 손해가 발생한 경우 카드회원의 고의 또는 중과실이 없다면 금융회사가 책임을 지게 돼 있다.

은행과 카드사에는 고객들에게 카드 재발급 또는 비밀번호 즉시 변경을 개별 안내하도록 했다. 금감원은 추가 피해를 막기 위해 소비자들의 적극 협력을 당부했다. 금감원 관계자는 "금융회사로부터 카드정보 유출 가능성이 높다고 안내받은 경우에는 카드를 교체하거나 비밀번호를 변경할 필요가 있다"고 설명했다.

금감원은 청호이지캐쉬에 대한 경찰청 수사와 별도로 지난 16일부터 현장검사를 진행하고 있다. 아울러 금융회사와 금융보안원 공동으로 모든 VAN사에 대한 특별점검을 착수하도록 했다. 청호이지캐쉬는 2011년 설립됐으며 편의점, 할인점 등 금융 ATM 설치 및 유지보수를 하는 VAN사다. 현재 전국에 2290대의 ATM을 운영하고 있다.