복제 사기범들의 표적이 되곤 했던 기프트카드가 해커들의 공격에 사실상 무방비로 노출돼 있었던 것으로 드러나 카드업계에 비상이 걸렸다.
경찰은 중국에서 활동하는 해커로부터 50만원권 기프트카드 총 3억5천만원 상당의 정보를 2억9천만원에 사들여 사용한 혐의로 이모(22)씨를 구속하고 나머지 일당 8명을 불구속 입건했다.
기프트카드는 50만원 한도로만 발행되는 무기명 선불카드다.
형태가 일반 신용카드와 거의 같은 데다가 대부분의 카드 가맹점에서 사용할 수 있는 편리함이 장점이다.
제3자에게 아무런 제약 없이 양도할 수도 있기 때문에 선물용으로 지속적인 인기를 끌고 있다.
하지만 카드정보만 알면 무기명으로 사용할 수 있는 특징 탓에 사기에 악용되거나 보안 사고에 노출되면서 신뢰성이 위협받고 있다.
기프트카드 관련 사기 사건은 이전에도 종종 있었다.
카드번호와 유효기간, 카드보안코드(CVC) 번호를 메모해 둔 뒤 다른 사람에게 판매하고서 미리 적어둔 정보로 온라인몰에서 상품이나 게임머니 등을 구매하는 식의 사기 사건이 종종 발생해 경찰이 수사에 나서곤 했다.
카드정보만 있으면 실물이 없어도 온라인에서 사용할 수 있는 점을 악용한 사기 수법이었다.
기프트카드의 경우 전부 IC카드가 아닌 마그네틱카드여서 복제 위험성이 높은 실정이다.
지난해 1월 경찰은 은행 창구에서 카드사가 발급한 50만원 짜리 기프트카드를 산 뒤 카드복제 장비로 가짜 마그네틱 기프트카드를 대량 복제해 상품권 매매업자에게 팔아 현금을 챙긴 일당을 구속하기도 했다.
카드업계 관계자는 "기프트카드를 IC카드 형태로 전환해야 한다는 지적이 꾸준히 나오지만 별다른 진척이 없다"며 "온라인 사용이 많은 선불카드의 특성상 이 같은 조치가 효율적인지에 대한 의문도 있다"고 설명했다.
이달 초에는 카드사 홈페이지의 취약점을 노린 해킹 사고까지 나면서 카드업계에서도 곤혹스러워하는 모습이다.
경찰에 붙잡힌 이씨 등은 중국에서 활약하는 해커로부터 50만원 짜리 기프트카드 정보를 샀다.
이 해커는 국내 은행에서 구입한 기프트카드를 토대로 다른 기프트카드의 번호와 유효기간을 유추한 것으로 조사됐다.
나머지 CVC 번호는 카드사 홈페이지 잔액 조회 서비스에서 무작위로 세자릿수 번호를 입력해 일치하는 번호를 알아낸 것으로 나타났다.
금융사들은 통상 비밀번호를 3∼5회 잘못 입력하면 입력이 제한되는 보안장치를 마련해 두는데 이번 해킹공격의 표적이 된 카드사 2곳은 이런 보안장치를 마련해 두지 않아 핵심정보가 무방비로 노출됐다.
000부터 999까지 숫자를 반복 입력하는 매우 초보적인 해킹 시도에 핵심 정보가 뚫린 셈이다.
이처럼 보안체계를 허술하게 운영했던 2개 업체는 현재 잔액 조회 시 휴대전화 인증 절차를 추가하고 3~5회 입력 오류 시 입력을 제한하는 보안조치를 뒤늦게 해놓은 상태다.
금융당국 관계자는 "1천500만 원가량의 기프트카드 피해 사실이 접수돼 해당 카드사에 즉시 보안 강화 조치를 하도록 하고 다른 금융기관에도 유사 사고 발생 가능성에 대비토록 관련 사실을 전파했다"고 밝혔다.
그는 "다른 금융사들도 자체적으로 보안을 강화하고 있는 것으로 안다"며 "조치가 미흡했는지를 추가로 확인해 나갈 방침"이라고 말했다.
업계에서는 이 같은 정보도용 범죄가 거듭될 경우 카드산업 전체에 대한 불신이 깊어질 수 있다고 우려하고 있다.
한 카드사 관계자는 "2014년 정보유출 사건 이후 카드업체의 보안 시스템을 믿지 못하는 고객들이 많다"며 "업계에서도 대책을 강화하고는 있지만 갈수록 범행이 정교해지고 있어 곤혹스러운 상황"이라고 말했다.
여신금융협회는 앞으로 이런 사고를 방지하기 위해 선불카드 사용 인증 강화와 복제 방지 방안을 마련하겠다고 밝혔다.
온라인에서는 기프트카드를 조회할 때 카드정보 입력 오류가 일정 횟수 이상 발생하면 이용을 차단해 영업점을 방문해 신원을 확인토록 하고, 실물 카드는 CVC 번호와 마그네틱선의 일부를 보안스티커로 가리도록 할 계획이다.
여신협회는 "기프트카드는 대부분 고객정보가 없는 무기명 카드라 이번 사고로 유출될 개인정보는 없다"며 "사고에 의한 고객 피해는 법령에 따라 카드사가 전액 보상할 예정"이라고 밝혔다.