큰사진보기
|
| ▲ 신용카드 개인정보 유출로 붐비는 은행창구 신용카드사의 개인정보 유출 사고로 인해 고객들의 불안감이 커지고 있는 가운데, 20일 오후 서울 영등포구 KB국민은행 여의도본점에서 수십 명의 고객들이 카드를 재발급 받기 위해 기다리고 있다. |
| ⓒ 유성호 |
관련사진보기 |
1억건에 이르는 카드사 고객 정보 유출 사태로 피해자들의 불안감이 커지고 있다. 이번에 KB국민, 롯데, NH농협카드를 통해 유출된 정보에는 주민번호, 전화번호, 주소 등 개인 식별 정보는 물론 카드이용실적과 연소득, 주거 상황, 카드신용한도금액, 카드신용등급 등 민감한 개인 재무 정보까지 모두 포함됐다.
특히 NH와 롯데는 카드번호 16자리와 유효기간까지 유출돼 충격을 주고 있다. 금융당국과 카드사는 신용카드 비밀번호와 CVC(카드 뒷면에 새겨진 3자리 숫자로 된 카드 인증)값 등이 유출되지 않아 카드 위변조나 현금 인출 등 도용 가능성은 없다고 주장하나 피해자들의 불안감은 쉽게 사라지지 않고 있다.
아마존 단순 결제는 허술? 국내 사이트는 안전?실제 아마존닷컴 등 일부 외국 사이트는 카드번호와 유효기간만으로 결제가 가능하다. 간편 결제를 돕는 '원클릭' 서비스로 유명한 글로벌 온라인쇼핑몰인 아마존은 신용카드 번호와 유효기간만 입력해도 되고, 카드 정보를 저장해 뒀다 추가 주문할 때 '한번 클릭'만으로 결제할 수 있다. 국내 사용자들도 아마존을 통해 '해외 직접구매'에 나서는 경우가 적지 않고 최근 아마존 쇼핑몰의 국내 시장 진출 가능성도 점쳐지고 있다.
실제 21일 아마존닷컴을 통해 카드번호와 유효기간만으로 주문을 시도했다. 결제는 간단했다. 미리 보안 프로그램을 깔 필요도 없었고, 공인인증서나 휴대폰 인증 같은 본인 확인 절차도 없었다. 이메일 등 간단한 주문자 정보와 배송 받을 주소, 연락처를 남긴 뒤 카드번호와 유효기간만 입력하면 결제가 끝났다. 물론 이메일을 통해 본인 확인 과정을 거치고 있었지만 카드 비밀번호는 물론 CVC 값도 확인하지 않았다. 농협이나 롯데카드에서 유출한 카드번호와 유효기간만 갖고도 결제가 가능한 구조였다.
큰사진보기
|
| ▲ 아마존닷컴을 통한 카드 결제 과정. 카드번호와 유효기간만 입력하면 기본 결제가 가능하다. |
| ⓒ 김시연 |
관련사진보기 |
대신 신용카드 정보 확인을 위해 1달러를 가결제한 뒤 물품 배송할 때 대금을 최종 결제한다. 또 카드 도용이 확인되면 결제를 취소하고 환불해 준다. 금융감독원 역시 카드번호와 유효기간을 이용한 카드 부정사용이 발생하면 전액 결제 취소하고 피해를 보상해줄 방침이다.
애플스토어나 이베이 등 페이팔을 이용한 대다수 외국 쇼핑몰에선 카드번호와 유효기간 외에 CVC 값을 따로 요구하긴 하지만, 결제 과정이 비교적 단순하긴 마찬가지였다.
그렇다면 국내 사이트는 안전한 걸까. 국내에서도 코레일을 비롯한 일부 사이트에선 카드번호와 유효기간, 비밀번호 앞 2자리, 인증번호(주민번호 뒷자리)만으로 카드 결제가 가능하다. 하지만 인터넷 쇼핑몰을 비롯한 대부분 사이트에서 신용카드 결제를 하려면 ISP(인터넷 안전결제)나 안심클릭 같은 지불인증 서비스를 거챠야 하고, 30만 원 이상 결제할 때는 공인인증서가 필요하다. 안전결제나 안심클릭 역시 신청 과정에서 카드번호, CVC 값, 비밀번호 등을 입력하고 본인인증 절차를 거쳐야 발급받을 수 있다.
큰사진보기
|
| ▲ 코레일 모바일 앱 신용카드 결제(왼쪽)와 ISP안전결제 카드정보 입력 과정. 코레일은 카드번호와 유효기간, 비밀번호 앞 2자리, 주민번호 뒷 7자리 등을 입력하면 기차표 발권이 가능하고, ISP는 CVC 값을 추가 입력하고 본인인증 절차를 거쳐야 한다. |
| ⓒ 김시연 |
관련사진보기 |
이번 사고를 계기로 출범한 금감원 개인정보보호단 관계자는 "해외 사이트의 경우 간단한 카드정보만으로 결제할 수 있지만 국내는 안전결제, 안심클릭을 이용해 비밀번호를 따로 입력해야 해 이번 유출 정보만으로 결제할 수는 없다"면서도 "다만 보이스피싱 등을 이용해 피해자에게 비밀 번호를 알아낸 뒤 도용할 가능성도 있어 주의를 당부하고 있다"고 밝혔다.
또 안전결제나 안심클릭, 공인인증서 등을 이용하려면 '액티브엑스' 기반의 보안 프로그램을 기본적으로 깔아야 한다. 하지만 그 과정 자체가 번거로워 외국인뿐 아니라 국내 사용자들의 온라인 거래를 막는 장벽이 되고 있다. 또 검증 안 된 프로그램까지 무의식적으로 다운로드 받는 국내 사용자들의 습관을 역이용해 해커들이 악성코드를 퍼뜨리기도 한다. 이 때문에 오픈넷, 진보넷을 비롯한 시민단체에선 액티브엑스는 물론 공인인증서 퇴출 목소리를 높여왔다.
'공인인증' 의존이 대형 사고 불러... "기술보다 신뢰 문제"전응휘 녹색소비자연대 정책위원은 "주민번호도 민감하지만 카드 이용 실적, 이용 한도, 신용등급, 연소득처럼 특정 개인의 재무 사정을 입체적으로 알 수 있는 정보들까지 유출됐다는 게 더 심각한 문제"라면서 "거의 국세청 수준으로 개인 재산 정보를 세밀하게 들여다볼 수 있고 수천만 명의 연소득을 수능 성적처럼 일렬로 세워 어디부터 털어야할 지 보여주는 셈"이라고 꼬집었다.
전 위원은 "정부는 신용카드 대량 부정 결제 같은 피해가 발생할 때마다 공인인증서 같은 인증 절차를 계속 추가해 이용자들만 더 불편하게 만들어왔다"면서 "이번 사태는 고객 정보 비밀 유지가 생명인 금융기관들이 개인 정보 유출에 무대책이고 신뢰성을 잃은 데 대해 영업 정지는 물론 허가 취소까지 검토할 문제지, 기술적으로 보완한다고 해결할 수 있는 문제가 아니다"라고 지적했다.
한창민 오픈넷 사무국장 역시 "정부는 공인인증서를 법제화하고 각종 보안 프로그램을 무조건 깔아야 한다고 요구하고 있지만 실제 보안에 얼마나 도움이 되는지는 의문"이라면서 "이번 사태도 금융사들이 정부가 시키는 대로 법에 규정된 것만 면피성으로 하면서 정작 고객 정보 보호나 보안 서비스 차별화에 투자하지 않아 발생한 것"라고 밝혔다.