국내 신용카드 정보 90만 건이 다크웹을 통해 불법 거래된 것이 확인됐다. 금융당국과 카드업계는 이르면 10일부터 정보 유출 피해자들에게 유출 사실을 알리고 재발급 절차를 진행하기로 했다.
카드사, 10일부터 본인 통보
셔터스톡
어떻게 유출됐나?
=한국 금융당국과 카드업계 등은 IC단말기 도입 이전에 사용된 포스(POS) 단말기에서 대부분의 정보가 유출됐다고 보고 있다.
=구형 포스 단말기는 결제 시 카드 정보가 암호화되지 않는데다, 연결된 PC 등에 카드정보가 저장돼 악성코드를 사용한 해킹이 빈번했다. 2019년 7월 카드번호 57만 건을 유출한 혐의로 이모씨가 체포됐을 때도, 구형 포스 단말기가 유출 경로로 지목됐다.
해외직구 통해서도 카드정보 유출
=2018년 7월 교체가 완료된 보안인증 IC단말기를 통한 유출은 없다는 게 카드업계 등의 설명이다. IC단말기는 결제와 동시에 카드 정보가 암호화 돼 포스단말보다 해킹에서 안전하다. 다만 인호 고려대 정보통신대학원 교수는 “완벽한 보안이란 없다. 구형 윈도우를 쓰거나 정보가 여러 단계를 거치다보면 취약한 지점이 생길 가능성이 크다”고 말했다.
=최근에는 단말기를 통한 정보 유출보다 해외 직구 때 입력하는 카드 정보로 인한 유출 피해가 큰 경우가 많다. 인터넷 결제에 필요한 카드번호, 유효기간, 카드고유번호(CVC) 뿐 아니라 주소 등의 정보도 모두 입력되기 때문이다.
POS 시스템 구조. 금융보안원은 2020년 주요 사이버위험 중 하나로 POS 단말기 해킹을 지목했다. 금융보안원
정보 유출로 인한 피해없나
=카드번호, 유효기간, CVC 등이 모두 유출된 케이스는 전체 피해 건수 90만 건 중 1000건 이하로 파악됐다. 현재까지 부정사용 피해는 확인되지 않았다. 부정사용이 발생하면 카드사가 전액 보상한다.
=카드 업계는 유출된 카드에 대해서는 부정사용방지시스템(FDS)을 통해 모니터링을 강화하고 있다. 최근 국내에서 사용한 카드에서 갑작스러운 해외결제 등이 발생하면 이를 이상징후로 포착하는 방식이다.
=카드 정보 유출을 제보한 싱가포르 보안업체는 “유출된 데이터를 이용해 현금을 인출할 수 있다”고 경고했다. 실제 2014년 포스 단말기에서 해킹해 위조 신용카드를 만들어 현금 인출기에서 1억2000만원을 인출한 일당이 체포됐다. 다만 여신협회 관계자는 “국내의 경우 IC 거래가 의무화돼 위조 카드로 인출은 불가능하다”고 말했다. 유출된 카드로 해외에서 현금인출을 시도할 경우엔 FDS가 이를 잡아내 인출을 막는다는 게 카드업계 설명이다.
다크웹에서 유통 중인 카드 정보. 포함된 국가에 한국이 명시돼 있다. 해당 자료는 6월5일 업로드 됐다. 에스투더블유랩 제공.
다크웹에선 지금도 한국 카드 정보 유통 중
=다크웹은 전용 브라우저인 토르(TOR·The Onion Router) 등 특정 브라우저를 통해서만 접근이 가능하다. 익명성이 철저히 보장된다.
=한국인 신용카드 정보도 거래된다. 신용카드 번호, 유효기간, 카드 고유번호(CVC), 카드 명의자 이름, 주소 등이 포함된 모두 포함된 정보는 ‘풀즈(fullz)’라고 해 일반 카드 정보보다 비싸게 거래되기도 한다. 이번에 유출된 정보는 건당 5달러에 거래됐다.
=다크웹 사이트를 전문적으로 분석하는 에스투더블유랩 서상덕 대표에 따르면 6월 5일에도 한국의 카드 정보가 다크웹을 통해 거래되고 있다. 이번에 유출이 확인된 카드 정보 외에 추가 유출이 있을 수도 있다는 설명이다. 서 대표는 “카드 정보는 다크웹 블랙마켓에서 인기 상품 중 하나”라며 “최근에는 페이팔과 각종 현금성 포인트가 담긴 정보들로 거래 대상이 확대되고 있는 추세”라고 분석했다.
=여신협회는 카드 정보 보호를 위해 ▶IC칩 우선 거래 ▶비밀번호 변경 ▶해외 카드사용 중지 서비스 신청 ▶출입국 정보 활용 동의 등을 권장하고 있다.
내 카드 정보 유출됐다면?
=카드업계는 이르면 10일부터 고객에게 카드 정보 유출 사실을 e-메일, 문자, 전화 등의 방식을 통해 통보한다.
=회원이 원하지 않을 경우 재발급을 하지 않아도 되지만, 카드 업계는 재발급을 권장하고 있다. 이 과정에서 보이스피싱 등에 유의해야 한다. 카드사가 안내하는 문자와 e-메일에는 인터넷 주소(URL)가 포함되지 않는다. URL 이 포함돼 있으면 보이스피싱으로 보고, 해당 카드사에 문의하면 된다.
=카드를 재발급 받더라도 재난지원금 사용은 문제가 없다.
안효성 기자 hyoza@joongang.co.kr
