[이슈분석]당신의 신용카드 안전합니까? 콜롬비아에서 루이비똥 결제가...

최근 간편결제 시행 등 금융보안 규제 완화로 카드 부정사용 불안감이 확산되고 있다. 과거 카드정보 유출 사고 등으로 보안 투자를 강화했지만 핀테크 기반 사업이 활기를 띠면서 또다시 카드 위·변조와 부정사용 악몽이 되살아날 조짐이다.

지난해 3월 규제개혁장관회의에서 공인인증서와 액티브X 의무사용 문제가 제기된 것을 시작으로 금융보안 규제는 완화 분위기다. 공인인증서 의무사용 폐지, PG사 카드정보 수집·저장 허용, 원클릭 결제 서비스 도입, 액티브X 퇴출 등이 주요 내용이다.

카드 부정사용 증가는 사회적 비용을 초래할 뿐만 아니라 신용시스템에 대한 금융소비자 신뢰를 무너뜨린다. 카드 부정사용액은 매년 역대 최고치를 갈아치우며 중대한 사회적 문제로 대두됐다.

◇교묘해지는 카드 부정사용

카드 부정사용이란 카드회원이 아닌 제3자가 카드를 부정사용한 거래를 뜻한다. 신용카드 위·변조는 물론이고 위조된 카드 판매 및 사용, 불법적으로 취득한 카드 사용, 신용정보를 도용한 거래가 이에 속한다.

특히 최근 온라인 거래가 증가하면서 피싱, 파밍, 스미싱, 해킹 등 새로운 정보도용 방법이 등장했다.

국가별 카드 부정사용률은 미주지역이 가장 높고 다음으로 유럽과 한국 순이다. 지난해 우리나라 카드 부정사용률은 0.004%로 해외 주요국(0.02~0.1%)과 비교하면 매우 낮다. 도난·분실카드 부정사용률도 감소세가 지속되고 있다. 반면에 카드 위·변조 부정사용률은 해외보다 높게 나타났다.

해외는 카드 정보 도용, 국내는 카드 위·변조와 도난·분실이 높은 비중을 차지한다.

카드 위·변조는 EMV 전환 여부에 따라 국가별 부정사용률이 상이하다. EMV는 1996년 국제 신용카드 3사(비자, 마스터, 유로페이)가 세계적으로 카드결제 안전성과 호환성 확보를 위해 공동 제정한 국제표준 규격이다. 국내 카드 부정사용 중 위·변조가 많은 것도 EMV 전환이 더디기 때문이다. 특히 POS 등 IC단말기를 이용한 위·변조가 최근 급증했다.

국내 카드 부정사용 중 80% 이상이 POS시스템 해킹으로 발생했다.

우리나라는 POS시스템 보안관리 주체가 불명확하고 전국 가맹점에 설치된 POS 기종조차 파악하지 못하는 구조다. 밴(VAN) 대리점에서 무상으로 POS를 설치하고 이를 이용해 고객정보를 관리한다. 이 때문에 내 정보가 어떻게 유통되는지 알 수 없고 신용카드 가맹점 POS로 유출되는 것을 막을 수도 없다. IC단말기 보급 사업이 추진되고 있지만 갈 길이 아직 멀다.

백화점과 대형마트, 식당, 주유소 등 생활밀착 업종과 카드 거래가 상대적으로 많은 대형 가맹점 POS를 이용한 제2의 개인정보 유출 대란 가능성도 제기된다.

POS시스템이 설치된 전국 36만 가맹점 중 IC카드 단말기로 전환한 곳은 2만곳에 불과하다. 전환율은 불과 6%. 결국 서민이 결제하는 전국 모든 식당과 편의점, 대형 마트 등 34만곳은 여전히 위·변조가 가능한 마그네틱 카드 결제가 이뤄진다. 고객 정보가 POS시스템에 고스란히 저장되기 때문이다. 개인 정보가 전국에 깔려 있는 POS시스템에서 저장, 수집되면서 해커의 표적이 될 공산이 크다.

전문가는 우선 비교적 결제가 많은 대형가맹점 IC 전환이 시급하다고 말한다.

◇카드정보 도용, 풍선효과로 부정사용 급증

최근 비대면 거래가 증가하면서 카드 정보 도용 문제도 사회적 문제로 부상했다.

세계 전자상거래 매출액은 2012년 1058조달러에서 2017년 2357달러로 증가가 예상된다. 해외 비대면거래 카드 결제는 카드번호와 카드보안코드(CVC) 등 정보만으로도 별도 사전 인증 없이 결제가 가능하다.

비대면 거래 카드결제 보안성은 본인인증방법 영향을 받으며, 사전본인인증과 달리 사후본인확인은 보안성에 매우 취약하다.

사후확인방법을 주로 사용하는 해외 주요국 카드정보도용 부정사용률은 사전확인방법보다 높다.

카드정보도용 증가로 2013년 프랑스 등 해외 주요국 카드부정사용액 대비 정보도용 비중은 60%를 이미 초과했다. 보안성이 높은 EMV 카드결제가 보편화될수록 부정사용은 감소하지만 풍선효과로 인해 보안성이 낮은 카드 정보도용 부정사용은 증가하게 된다.

우리나라도 카드 정보도용 부정사용률은 인터넷 시장 성장에 따른 온라인 카드사용 확대와 간편결제 도입으로 크게 확대될 전망이다. 실제로 부정사용액 대비 카드 정보도용 비중은 2011년 1%에서 2014년 5.8%로 여섯 배 가까이 급증했다.

국내 온라인 쇼핑몰 매출액이 연평균 20% 이상 증가하면서 국내 카드 정보도용 부정사용을 견인했다. 해외 페이팔과 애플페이도 카드 정보도용으로 부정사용이 늘고 있다.

보안 부문에서 선제 대응방안을 마련해야 한다는 지적이다. 카드 정보도용 부정사용의 주요 보안수단은 동적보안코드, 업종차단, e-FDS, 토큰화, 지역차단 등이 대안이 될 수 있다.

보안업계 관계자는 “e-FDS 구축으로 모바일기기 맥어드레스, IP주소 등을 활용해 비대면거래(CNP)에서 카드 부정사용을 보다 정밀하게 분석하는 시스템 도입이 절실하다”고 말했다. 최근 일부 카드사가 도입 중인 토큰화도 민감한 카드정보를 가치 없는 정보로 전환함으로써 보안성을 높이는 데 일조하고 있다.

◇지불결제 시장 급변, 환경에 맞는 보안 대책 나와야

카드 부정사용 증가 우려에도 우리나라 카드 부정사용률은 오히려 낮아졌다. 하지만 최근 핀테크 산업에 따른 다양한 결제 플랫폼과 서비스가 도입되면서 보다 세밀한 대응방안을 마련해야 한다는 지적이다. 카드사 보안정책 자율성이 강조되지만 선제적 보안 투자와 보안의식 강화가 필요하다는 의견이다.

특정 보안시스템이나 인증방법 지정은 그대로 지키기만 하면 면죄부가 되는 약점이 있다. 반면에 자율규제는 빠른 환경변화에 가장 적합한 규제방식으로 새로운 유형 카드 부정사용에 강력한 보안대책을 실행할 수 있다.

PG사 간편결제, 삼성페이 등 핀테크 도입으로 카드시장은 새로운 변화 기로에 섰다. 전문가는 카드부정사용에 관련 주체 대응을 강화하고 보다 효율적 예방대책을 마련해야 한다고 주문했다. 현재 추진 중인 가맹점 IC단말기 전환에 보다 속도를 내고, EMV 전환도 서둘러야 한다. 가맹점도 카드회원 본인확인을 위해 매출전표 서명과 카드뒷면 서명 일치 여부를 확인하는 습관을 기르고 비밀번호 입력 방법을 사용해야 한다.

소비자 보안강화 방안은 SMS 실시간 카드결제 내역 확인, 카드 해외결제 차단, 보안성 높은 결제방식 선택, 바이러스 방어프로그램 설치 등으로 카드부정사용을 사전에 차단할 수 있다.

길재식기자 osolgil@etnews.com