씨티카드 해외 부정결제 쉬쉬…고객 피해 '눈덩이'

ATM 이어 빈 공격 따른 부정결제 여전...1만5000여 명 잠재적 피해 '노출'

"고객보다 수익 우선하다 발생한 인재"...씨티 노조, 금감원에 고발장 접수

씨티카드가 지난 달 ATM 해킹에 따른 카드정보 유출에 이어 해외 부정결제 사건으로 수 천만원의 피해를 입은 사실이 뒤늦게 드러나며 또다시 곤혹을 치르고 있다. 특히 사고 이후 1년이 지난 현재까지도 유출된 카드를 통한 부정결제 피해가 지속되고 있는 것으로 확인되면서 해당 은행의 미비한 후속조치가 고객 피해를 키웠다는 비판이 일고 있다. ⓒ씨티은행

씨티카드가 지난 달 청호 ATM 해킹에 따른 카드정보 유출에 이어 해외 부정결제 사건으로 수 천만원의 피해를 입은 사실이 뒤늦게 드러나며 또다시 곤혹을 치르고 있다. 특히 사고 이후 1년이 지난 현재까지도 유출된 카드를 통한 부정결제 피해가 지속되고 있는 것으로 확인되면서 해당 은행의 미비한 후속조치가 고객 피해를 키웠다는 비판이 일고 있다.

ATM 이어 빈 공격 따른 부정결제 여전...1만5000여 고객 잠재적 피해 '노출'

16일 씨티은행에 따르면, 작년 6월 페이팔과 우버 등 미국 가맹점을 중심으로 빈(BIN) 공격이 발생해 해당 가맹점과 거래하던 국내 씨티은행의 A+(에이플러스) 체크카드에서 수 천만원대 부정결제 사고가 발생했다.

빈 공격은 카드번호를 무작위로 입력해 고객의 카드번호를 알아내는 수법으로, 일당은 전체 카드번호 16자리 가운데 4227-27로 시작하는 뒷 10자리를 무작위로 입력해 전체 번호를 파악하는 방식으로 범행을 저질렀다. 이를 통해 씨티카드에서는 고객 사용과 무관한 약 1000여건의 부정유출 피해가 발생해 3000만원 상당이 고객 계좌에서 빠져나간 것으로 확인됐다.

문제는 사고 발생 1년이 지난 현재까지도 카드번호 노출에 따른 고객 피해가 계속되고 있다는 점이다. 실제로 사고 발생 1년여 만인 지난달 23일과 이달 4일까지도 부정사용에 따른 해외 승인내역이 확인되는 등 그 피해가 여전한 것으로 나타났다. 여기에 잠재적 피해범주에 포함되는 해당카드 이용자가 1만5000명에 이르고 있어 카드 고객들이 부정결제 피해에 고스란히 노출되고 있는 실정이다.

당시 은행 측은 지속적인 정보유출 및 부정사용 가능성에 따른 후속조치로 해당카드에 대한 신규발급은 중단했으나, 이미 발급된 카드에 대해서는 사실상 어떠한 조치도 내리지 않았던 것으로 드러났다. 반면 동일한 사고에 노출된 타 은행의 경우 해당 카드를 해외 비대면 승인을 전면 제한하는 강도높은 조치를 내린 끝에 고객 피해를 최소화할 수 있었다.

"고객보다 수익 우선하다 발생한 인재"...씨티 노조, 금감원에 고발장 접수

한편 지난달 8일과 9일에도 ATM기기 해킹에 따른 후속 피해로 태국에서 씨티카드 고객 28명의 계좌에서 돈이 인출되는 사고가 발생했다. 금융당국은 당시 금융정보가 유출돼 부정인출 피해 우려가 있는 고객 카드를 정지시키라는 지침을 각 금융기관에 내렸으나 시중은행 가운데 씨티은행 측이 유일하게 ‘고객 불편’ 등을 이유로 당국 지시에 따르지 않았다는 주장이 제기됐다.

이처럼 씨티카드에서 유독 자주 발생하고 있는 부당결제 사고를 두고 고객정보보다 수익성에 우선한 사측의 조치가 피해를 확산시키고 있다는 비판이 은행 내부에서부터 일고 있다. 실제로 사고 발생 이후 씨티은행 측은 피해카드 고객을 대상으로 한 카드사용 자제 및 정지 통보 대신 내부 공문을 통해 사고 접수에 따른 직원들의 대응 방침만을 주문한 것으로 알려졌다.

이와 관련해 카드정보 노출사고 문제의 심각성을 인지한 해당은행 노조 측은 사측의 이같은 조치에 대해 금융감독원의 철저한 조사 및 재발방지대책 마련 등을 촉구하고 나선 상태다. 이에 감독당국은 오는 18일 해당 은행을 방문해 해당 사안에 대한 논의에 나설 예정이다.

은행의 한 관계자는 "당시 피해금액이 3000만원 수준으로 부정결제 건수에 비해 그리 크지 않다보니 사측이 수익성으로 직결될 수 있는 1만5000명이나 되는 해당 카드 고객들의 사용 중지를 사실상 꺼렸던 것"이라며 "결국 범행 타깃이 된 여러 금융사 가운데서도 씨티은행 고객 피해가 유독 컸던 것은 은행 스스로 자초한 측면이 높다"고 비판했다.