신용카드 업계가 대량의 고객 신용정보 유출 사건으로 술렁이고 있다. 지난 4월 12일 경찰청 사이버테러대응센터는 편의점과 음식점 등에 설치된 신용카드 결제용 판매·재고관리시스템 ‘포스’(POS·Point Of Sales) 가맹점 36곳을 해킹해 개인 신용카드 정보 10만 건을 유출시킨 혐의로 루마니아 국적 국제 해커 추적에 나섰다고 밝혔다. 경찰은 또 이 해커와 연계된 말레이시아 밀매조직을 통해 신용 정보를 구입한 혐의로 엄 아무개 씨(37) 등 2명을 구속했다고 전했다. 이와 관련, 신용카드 회사들이 그간 비슷한 사건의 발생으로 이미 오래전부터 포스 시스템의 위험성을 알고 있었음에도 책임회피에만 급급해 사고를 더욱 키웠다는 비판이 제기되고 있다.
포스 단말기는 특정 거래 내역만 저장되는 일반 카드단말기와 달리 카드번호 유효기간 등 모든 정보가 일정 기간 저장된다. 지난 연말 기준 전국 26만여 대가 보급돼 있으며 전체 카드 대비 결제비율은 30%에 달한다. 포스는 가맹점의 판매와 재고현황 등을 실시간으로 관리할 수 있다는 장점이 있지만 신용카드 정보를 인터넷 선으로 전송하기 때문에 이번 사건처럼 해킹당하기 쉬운 단점이 있다.
경찰청 사이버테러대응센터 관계자는 “신용카드 뒷면에 검은 선이 총 세 개의 트랙으로 이뤄져 있는데 이 중에서 개인 신용정보가 들어있는 트랙을 빼내 ‘공카드’에 덧씌우면 바로 위조카드로 쓸 수 있다”며 “쉽게 말해 컴퓨터에서 빈 CD에 프로그램을 굽는 것과 비슷하다고 생각하면 된다”고 전했다. 그만큼 위·변조가 쉽다는 말이다.
이처럼 손쉬운 위조로 인해 국내 포스 관련 해킹 사고는 계속해서 증가추세를 보이고 있다. 금융감독원에 접수된 해외 복제카드 피해액은 2006년 52억여 원에서 2007년 34억여 원으로 크게 줄었지만 2008년 38억여 원, 2009년 40억여 원으로 다시 증가 추세에 있다. 금감원의 한 관계자는 “2009년 한 해 동안 국내 카드사들의 실제 연간 피해액은 150억여 원에 이를 것으로 추정되고 있다”며 “복제카드로 인한 손실금액이 발생해도 자사 카드에 대한 부정적인 인식을 걱정해 신고를 안 하는 경우가 많다”고 전하기도 했다.
이처럼 날로 늘어만 가는 카드 위조 범죄를 막기 위해서는 IC 카드의 도입이 필요하다는 지적이 신용카드업계 안팎에서 제기되고 있다. IC 카드 단말기 시스템은 고객의 개인정보가 철저하게 보호될 뿐 아니라 해킹이 된다 하더라도 IC 칩의 위조가 쉽지 않아 안전성이 뛰어나기 때문이다. 유럽 등 선진국들은 위조카드 범죄가 증가추세를 보이던 지난 2006년경부터 이미 마그네틱을 단말기에 긁어 결제를 하는 기존의 MS 카드 방식 대신 IC 칩을 이용하는 단말기 시스템을 90% 이상 보급해 놓은 상태다.
반면 국내의 경우 2009년 말 기준 개인고객에 발급된 IC 카드 보급률이 93%로 상당히 높은 편이지만 단말기 보급률은 20%로 현저하게 떨어진다는 것이 금융계 관계자들의 설명이다. 이로 인해 IC 칩으로 결제 가능한 카드를 가지고 있음에도 포스 시스템 해킹 피해를 보는 아이로니컬한 사례가 날이 갈수록 늘고 있는 것이다.
그럼에도 신용카드사들은 IC 카드 시스템 단말기 보급책임은 전적으로 ‘밴’(VAN·Value Add Network, 부가가치통신망) 업체에 있다며 책임을 회피하고 있는 실정이다. VAN사란 한국정보통신(KICC) 금융결제원 등과 같이 포스 매장과 카드사를 연결해주는 중개회사를 말한다. 국내엔 10여 개의 VAN사가 있다. 신용카드사 관계자들은 이구동성으로 “우리는 개인고객에게 카드 보급만 책임지면 될 뿐 카드 결제 단말기를 통해 발생하는 문제는 VAN사가 책임져야 할 문제”라는 입장을 밝힌다.
이에 대해 VAN사 측은 “IC 단말기 보급 책임이 우리에게만 있다는 것은 어불성설”이라고 반박하고 있다. 한 VAN사 관계자는 “카드사는 중개업체들을 이용해 가맹점을 수백 개씩 늘려나가며 이익을 얻고 있다”며 “정작 20만여 원에 달하는 IC 카드 단말기를 100만 개가 넘는 가맹점에 설치해야 하는 부분을 전적으로 우리 비용만으로 하라는 것은 말이 안 된다. 카드사의 자금 지원 없이는 할 수 없는 일”이라고 전했다.
이로 인해 피해를 보는 것은 역시나 개인 고객이다. 특히 이런 공방은 포스 시스템으로 인한 사고가 발생할 때마다 책임 소재 논란으로 이어지고 있다. 경찰에 따르면 이번에 정보가 유출된 신용카드사들은 “피해를 입은 카드 9만 5266장의 금전적 피해와 교체발급 비용 등은 전적으로 카드사에서 책임을 질 것”이라면서도 “그러나 정보 유출 문제는 우리 책임이 아니다. 단말기를 보급한 VAN사에 책임소재를 물어라”는 입장이라고 한다.
한편 금융권과 소비자보호원 등에서는 “고객 개인정보 위조 피해발생을 막기 위해서는 금융당국의 적극적인 개입과 조율이 필요하다”는 지적을 하고 있다. 사실 금감원에서는 포스 단말기가 해킹 위험성을 키우고 있다며 2004년부터 2008년 말까지 IC 칩 시스템을 100% 도입할 것이라는 계획을 발표한 바 있다. 그러나 앞서 언급한 것처럼 현재 국내 IC 카드 단말기 보급률은 고객들의 카드 보유율에 비해 저조한 상황이다.
한 카드사 관계자는 “금감원이 여러 이유를 들어 사태를 수수방관만 하고 있다”면서 “IC 카드를 활성화하려면 금융당국의 적극적인 개입이 시급하다”고 말했다. 이에 대해 금감원 관계자는 “아직까지 강제적으로 시정조치를 취할 방법은 없다”며 “앞으로 이번 사건을 맡은 경찰 은행 등과 간담회 등을 통해 제도적·기술적 문제 해결 방안을 차근차근 강구할 계획”이라고 전했다.
김장환 기자 hwany@ilyo.co.kr