“지하에 매설된 통신선에 접속장비만 붙이면 다른 사람의 카드정보를 고스란히 읽어들일 수 있다는 사실을 아십니까.” 7만대 가량으로 추산되는 현금입출금기(CD/ATM) 가운데 암호화장비(일명 DES보드)가 부착된 단말기는 불과 2000대 정도. 그나마도 지난해 월드컵을 치르면서 외국인들의 현금거래를 돕기 위해 급작스럽게 도입됐다. DES보드가 없는 CD/ATM에서 거래가 발생하면 각종 금융정보는 완전히 발가벗겨진 채 통신망을 오간다. 이미 해외에서는 이같은 허점을 노린 첨단 범죄장비가 등장한 지 오래다. 금융보안 위험국으로 낙인찍힌 우리나라의 단면 가운데 하나다. 최근 농협·우리은행·국민은행 등 대형 시중은행들의 카드를 위변조한 범죄가 엄청난 사회적 파장을 몰고오면서 국내의 카드보안 실태에 심각한 문제점이 제기되고 있다. 카드 위변조 범죄는 허술한 보안환경에서 누적된 각종 보안사고의 우려가 일부 표면화된 것에 불과하다. 언제든지 터질 수 있는 다양한 유형의 범죄 가능성이 도처에 잠재돼 있는 것이다. 그러나 시간만 흐르면 언제 그랬냐는듯이 반짝 이슈로 다시 묻힐 수도 있는 게 지금까지의 우리 관행이다. 현금카드 위조사건을 계기로 카드거래를 둘러싼 보안실태와 문제점·대책 등을 짚어보고 이어 전문가 좌담회를 통해 바람직한 대응방안을 알아본다.편집자
지능형 금융범죄로 골머리를 앓고 있는 동남아지역에선 담뱃갑만한 크기의 장비를 가맹점 신용카드조회기에 달아 카드 승인과정에서 고객정보를 몰래 저장하는 사례가 있다. 가맹점과 결탁한 범죄조직은 이렇게 빼낸 수많은 카드정보로 마치 은행처럼 카드를 발급해 범죄에 악용한다. 최근에 한 범죄조직은 스스로 제작한 CD/ATM을 특정 지역에 설치해 놓고 사람들을 유도해 세상을 경악케 했다. 가짜인지 모른 채 카드를 삽입한 고객들은 ‘은행 시스템 점검중’이라는 메시지만 확인하고 자신의 금융정보를 노출당한다. 쉽게 눈에 띄지 않는 소형 카메라를 CD/ATM에 장착해 고객이 누르는 비밀번호만 입수하기도 한다. 비자·마스타 등 해외 신용카드 브랜드에 실제 보고됐던 동남아지역의 범죄사례들이다.
최근 현금카드 위변조 사고가 시사하는 바는 이같은 유형의 ‘조직적’ 범죄가 마침내 국내에서도 시작됐다는 점이다. 바꿔 말하면 카드범죄에 관한 한 그동안 한국은 비교적 순진한 편이었던 셈이다. 한국전자지불포럼 조영휴 사무국장은 “아직은 동남아 등지에서 발생하는 지능적인 수준까지 확산되진 않았지만 앞으로는 시간문제일 뿐”이라며 “조직화·지능화된 카드범죄가 발견됐다는 점에서 긴장을 늦추지 말아야 한다”고 지적했다.
전문가들은 가장 큰 문제점으로 카드 발급에서 사용에 이르는 제반 카드거래 프로세스의 취약성을 꼽고 있다. 대표적인 사례가 은행 창구에서 신용·현금카드를 발급받을 때 접수용지에 비밀번호를 노출하는 경우다. 고객의 비밀번호는 원칙적으로 은행 직원도 몰라야 하는 게 사실. 유럽·미국 등의 은행들은 카드 신규 발급시 일회용 비밀번호와 카드를 따로 고객이 받도록 한다. 고객은 카드등록을 위해 일회용 비밀번호를 자신의 값으로 교체한 뒤 사용하는 것이다.
은행권 관계자는 “대부분의 정보 유출사고가 기술적인 사안이 아닌 인재라는 점에서 보안프로세스를 재정립하는 작업부터 선행돼야 한다”고 강조했다.
최근 현금카드 도용사고에서 지적되는 또 다른 문제점은 당사자인 은행들도 정확한 범죄원인을 모르거나 공개를 꺼린다는 점이다. 비밀번호·계좌번호의 입수경위는 차치하더라도 어떻게 카드를 위조할 수 있었냐는 것이다. 현재까지 알려진 마그네틱카드 위조유형은 ‘스키밍’과 정보유출에 의한 위조발급 등 크게 두가지다. 해외에서 보편화돼 있는 ‘스키밍’은 마치 서류를 복사하듯 마그네틱 복사기로 도난·분실 카드를 통째로 복사하는 방식이다. 반면 이번에 농협 등에서 발생한 위조발급 방식은 이와는 달리 계좌번호·비밀번호를 미리 입수한 뒤 정상적인 카드발급 절차를 거치는 것으로 추정된다.
많은 문제점을 안고 있으면서도 카드 위조발급 문제가 이제서야 도마에 오른 것은 피해고객 상당수가 도난·분실 신고를 하지 않았기 때문이다. 전문가들은 이 참에 정책당국과 금융권이 현행 카드거래의 취약성을 공론화하고 근본적인 대책을 강구해야 한다고 입을 모은다. 비자코리아 정도영 이사는 “무엇보다 정책당국·금융권이 구체적인 개선방안과 일정을 제시해야 할 시점”이라고 말했다.
<서한기자 hseo@etnews.co.kr>
허술한 보안환경 방치
관련 통계자료 다운로드 아·태지역 위조카드 거래규모 현황과 전망