공유하기

카카오톡
블로그
페이스북
X
주소복사

파밍·스미싱 먹잇감 되버린 '카드사 홈페이지'


입력 2014.01.20 14:43 수정 2014.01.20 17:49        윤정선 기자

단순 피해내역 알리면서 비밀번호, CVC 등 결제정보 요구하는 카드사

회원정보 유출이 확인된 3개 카드사(△국민카드 △롯데카드 △농협카드) 홈페이지 화면 캡처

최근 카드사 회원정보 유출과 관련 자신의 개인정보 유출 내용을 확인하려면 카드사 홈페이지에서 비밀번호와 CVC 등 민감한 정보를 입력해야 하는 것으로 알려지면서 파밍과 스미싱 같은 범죄에 악용될 가능성이 높다는 주장이 제기됐다.

20일 카드업계에 따르면, 지난 17일부터 3개 카드사(국민카드, 롯데카드, 농협카드)는 자사 홈페이지를 통해 회원에게 피해 사실을 안내하고 있다. 유출된 개인정보는 휴대전화 번호부터 이용실적금액, 결제계좌 등 민감한 정보도 담겨 있다. 롯데카드와 농협카드 회원은 카드번호와 유효기간까지 노출됐다.

상황이 이렇다 보니 불안한 회원은 홈페이지를 통해 유출된 자신의 개인정보를 확인하고 있다. 일부 카드사 홈페이지는 접속자가 한 번에 몰리면서 접속이 제한되거나 확인 과정에서 먹통이 되는 경우도 발생하고 있다.

특히, 유출내용을 확인하기 위해 본인인증절차로 주민등록번호는 물론 CVC와 비밀번호 앞자리도 요구하고 있어 2차 피해가 우려된다. CVC는 카드 유효성 검사 코드로 카드 뒷 면 서명란에 표기된 숫자의 끝자리 세 자리다. 온라인 쇼핑몰이나 공인인증서를 발급받을 때 비밀번호와 함께 본인확인 수단으로 활용된다.

결과적으로 고객들이 자신의 피해 사실을 알기 위해 자신의 결제정보를 입력해야 하는 셈이다.

카드사 관계자는 "홈페이지를 통해 알려주는 내용은 단순 피해사실"이라며 "만약 CVC나 비밀번호를 입력하기 껄끄럽다면 휴대전화인증을 받으면 된다"고 해명했다.

이어 그는 "피해내용을 확인하기 위해 과도하게 많은 정보를 요구한다는 지적이 있는 것으로 안다"면서도 "하지만 정보유출 규모가 크고 피해회원이 많다 보니 본인인증절차를 엄격하게 한 것"이라고 덧붙였다.

카드 CVC(롯데카드 홈페이지 화면 캡처)
하지만 오히려 과도한 본인인증절차가 파밍이나 스미싱 등에 악용될 가능성을 키운다는 지적도 나온다. 파밍은 금융회사 정상적인 홈페이지를 가장해 개인 금융 정보를 빼내 가는 수법을 말한다. 스미싱은 문자메시지(SMS)에 포함된 URL로 스마트폰에 악성코드를 설치해 소액결제나 금융 정보를 빼가는 범죄다.

보안업계 관계자는 "단순 피해내용을 확인하는 일인데도 과도한 정보를 요구하고 있다"며 "CVC나 카드번호, 비밀번호 등을 입력하는 절차는 분명 개선되어야 할 것"이라고 전했다.

대형 카드사 관계자도 "비밀번호 앞자리 2개만 요구한다고 해도 이는 결제에 필요한 핵심 정보"라며 "카드사 정보유출을 확인할 수 있다며 파밍사이트로 안내하면 피해고객은 눈덩이처럼 불어날 것"이라고 알렸다.

이어 그는 "비밀번호와 CVC 입력에 익숙해진 회원은 불법사이트를 들어가도 의심하기 어려울 것"이라고 부연했다.

또 다른 카드사 관계자는 "금융당국과 카드사는 이번에 유출된 회원정보에는 비밀번호와 CVC는 없다고 안도했다"면서 "하지만 이를 확인하기 위해 비밀번호와 CVC 입력을 요구하는 건 이상한 처사"라고 비꼬았다.

아울러 주민등록번호만 입력해도 회원 가입 시 등록한 이메일 등으로 피해사실을 보내면 카드 비밀번호나 CVC를 굳이 입력하지 않아도 본인인증절차를 충분히 강화할 수 있다고 설명했다.

한편, 금융감독원 관계자는 "이메일이나 우편은 시간이 걸리기 때문에 각 카드사에 홈페이지를 통해 먼저 피해회원에게 알리도록 했다"며 "하지만 빨리 오픈을 하다보니 인증절차가 카드사마다 다르고 미흡하지 않았다 싶다"고 답했다.

윤정선 기자 (wowjota@dailian.co.kr)
기사 모아 보기 >
0
0
윤정선 기자가 쓴 기사 더보기

댓글 0

0 / 150
  • 최신순
  • 찬성순
  • 반대순
0 개의 댓글 전체보기