금융감독원과 여신금융협회가 3년여 전 보안 강화 대책을 내놓았지만 또다시 신용카드 결제기기 관리업체를 통해 1200만 건의 고객정보가 유출됐다. 이번에 유출된 정보는 수도권 지역의 소형마트와 음식점 등에서 사용된 카드의 결제정보(450만 건)와 이름·전화번호·주소 등 고객정보(750만 건)다. 신용카드 결제 기능을 붙인 판매시점관리(POS) 단말기를 업소에 공급하고 관리해주는 대행 업체가 보안 조치를 제대로 하지 않은 탓이다.
2009년 5~10월에도 쌀국수전문점 등 12개 가맹점의 POS 단말기를 원격으로 제어하는 프로그램이 해킹을 당해 9만9000건의 고객정보가 새나갔다. 이로 인해 3억8900만원어치의 카드 부정 사용이 일어나자 금감원과 여신금융협회는 태스크포스(TF)팀을 구성해 2010년 8월 대책을 내놓았다.
POS 단말기에 표준보안프로그램을 설치하고, 2011년 1월부터 보안프로그램을 설치하지 않은 단말기를 통해 결제 승인 요청이 들어오면 신용카드사에서 이를 거부하기로 했다. 하지만 이 대책은 가맹점들이 “보안프로그램이 기존 장치와 충돌한다”는 이유로 반발하면서 제대로 시행하지 못한 것으로 드러났다. 여신협회 관계자는 “많은 가맹점이 보안프로그램을 설치하지 않은 상태에서 카드사가 결제 승인을 거부할 경우 문제가 생길 수 있어 그대로 시행할 수 없었다”고 설명했다.
현재 신용카드 가맹점에는 500여 개 공급업체가 만든 POS 단말기가 유통되고 있다. 여신협회에 따르면 이 중 일부는 신용카드 번호와 유효기간이 모두 찍힌 영수증을 그대로 발급하고 있다고 한다. 게다가 POS 단말기 공급업체가 가맹점의 결제정보를 관리하면서 저장까지 하고 있지만 누구도 이를 감독하지 못하고 있다. 경찰 수사 결과 이번에 고객정보를 유출한 업체의 경우 인터넷 검색을 하면 그대로 결제정보가 든 서버에 접속할 수 있을 정도로 허술하게 관리해 왔다.
금감원 관계자는 “결재 단말기 공급업체나 가맹점 모두 금융회사가 아니다 보니 금감원이 규제를 하는 데는 한계가 있다. 앞으로 보안이 강화된 IC칩 카드를 인식할 수 있는 단말기로 교체할 계획을 갖고 있다”고 말했다. 현재 보급된 신용카드의 95%에는 복제가 어려운 IC칩이 들어 있지만 정작 이를 읽을 수 있는 POS 단말기의 보급률은 7~8%에 불과하다. 하지만 결제 단말기 교체 비용을 누가 부담하느냐를 두고 카드사와 결제망관리회사, 가맹점이 대립하고 있다.
김원배·이지상 기자
