"정보유출 불법 유통됐나?" '스키밍·해킹'에게 물어봐

입력 2014.01.27 17:58 수정 2014.01.27 20:55 윤정선 기자

2차 피해 주장의 근원지는 스키밍이나 해킹에 의한 범죄일 가능성 높아

포스단말기(자료사진)

카드사 '2차 피해' 주장이 이번 카드 고객 정보 유출로 발생한 게 아닌 스키밍(Skiming)이나 포스(POS)단말기 해킹에 의한 범죄 가능성이 높다는 주장이 제기됐다.

27일 카드업계에 따르면, 최근 카드사 고객 정보 유출로 국민카드와 롯데카드 고객 중 2차 피해를 당했다는 주장이 일부 언론 보도를 통해 알려지면서 논란은 일파만파 커졌다. 해당 카드사는 이번 고객 정보 유출로 발생한 사고가 아니라며 진화에 나섰지만, 국민 불안은 수그러들지 않는 분위기다.

국민카드 사례의 경우 국내 거주자가 해외 오프라인 가맹점에서 자신이 사용하지 않은 결제가 승인됐다. 결제 방법은 스와이프(Swipe) 방식으로 흔히 말하는 카드를 '긁어' 결제가 이뤄졌다. 따라서 해당 사례는 카드 복제로 인한 부정사용이다.

정보 유출이 확인된 3개 카드사(△국민카드 △롯데카드 △농협카드) 중 국민카드는 유일하게 카드번호와 유효기간이 노출되지 않았다. 따라서 카드 위·변조가 불가능하다. 설령 카드번호와 유효기간이 알려졌더라도 CVC(카드 뒷면에 적힌 세자리 숫자의 유효성검사코드) 없이 카드 복제는 있을 수 없다.

이번에 유출된 카드 고객 정보로 카드 복제는 불가능하다는 게 금융당국과 보안업계 전문가의 공통된 목소리다.

결국, 국민카드 2차 피해 사례는 이번 고객 정보 유출로 인한 사고가 아닌 스키밍에 의한 범죄일 가능성이 크다. 스키밍은 스키머(Skimer)라는 장비를 통해 쌍둥이 카드를 만드는 것을 말한다.

보안업체 관계자는 "이번에 유출된 고객 정보로 카드 복제는 절대 불가능"이라며 "스키밍에 의한 부정사용으로 의심된다"고 알렸다.

이어 그는 "카드번호와 유효기간, CVC 등이 노출되지 않은 상황에서 이번 고객 정보 유출과 연계하는 것은 오히려 국민 불안감만 키우는 꼴"이라고 덧붙였다.

롯데카드의 2차 피해 사례는 국민카드와 다르다. 우선 오프라인이 아닌 모바일 공간에서 발생했고 결제 방법도 스와이프 방식이 아닌 모바일 결제다.

하지만 이 또한 CVC를 알아야 결제를 진행할 수 있어 포스단말기나 결제 사이트 해킹에 의한 피해일 가능성이 높다.

보안업계 관계자는 "롯데카드 사용자의 2차 피해 주장을 들어보면 범죄자가 피해자의 CVC를 알았다는 것"이라며 "이는 포스단말기나 결제 사이트 해킹에 의한 범죄라는 증거"라고 말했다.

포스단말기는 컴퓨터와 금전등록기, 신용카드 결제기기를 결합한 장치를 말한다. 일부 포스단말기는 보안표준을 제대로 지키지 않아 카드번호와 CVC와 같은 금융정보도 저장한다. 랜(LAN) 선으로 연결된 포스단말기를 해킹하면 민감한 금융정보가 뚫리는 것이다.

카드사 보안부서 관계자는 "인터넷 선을 이용하는 포스단말기는 해킹에 취약하다"면서 "실제 동유럽이나 중국에서 국내 포스단말기를 해킹해 카드를 복제하거나 부정사용한 사례가 있다"고 전했다.

#카드사 고객 정보 유출 2차 피해

#롯데카드 국민카드 정보유출

#카드번호 유효기간 CVC

#카드 복제기 스키머 스키밍 해킹