기는 정보 보안, 나는 지능 범죄… 기막힌 신종 수법 2차 피해 현실화

포인트 카드 단말기 해킹 신용카드 비밀번호 빼내

씨티은행서 빼낸 정보로 고금리 고객만 골라 사기

허술한 금융보안 시스템으로 인한 피해가 확산되고 있다. 마일리지 포인트 적립카드를 해킹해 신용카드 비밀번호를 빼내는 신종 수법이 등장했으며, 지난해 시중은행의 대규모 개인정보 유출 이후 우려됐던 2차 피해가 처음 확인됐다.

◇신용카드 긁었을 뿐인데…=경찰청 사이버테러대응센터는 신용카드 가맹점에서 결제된 카드 정보를 대량으로 빼낸 뒤 위조카드 149장을 만들어 현금지급기에서 1억2000만원을 인출한 박모(35)씨 등 2명을 구속하고, 조선족 지모(34)씨를 불구속 입건했다고 9일 밝혔다.

이들은 일반 신용카드 단말기와 달리 카드번호와 유효기간 등 신용정보가 담겨있는 포스(POS·point of sales) 단말기를 타깃으로 삼았다. 고객들이 커피전문점 등에서 신용카드로 결제할 때 포인트 적립카드도 함께 제출한다는 점을 이용했다. 대부분 포인트 적립카드는 포인트를 현금처럼 쓸 때는 비밀번호를 입력하도록 한다. 이들은 사용 시점이 일치하는 신용카드 거래정보와 포인트 적립카드 비밀번호를 비교해 현금 인출에 필요한 비밀번호를 얻었다. 신용카드와 포인트 카드 비밀번호를 동일하게 사용하는 사람이 많다는 점을 악용한 것이다.

해킹된 신용카드 가맹점은 전국적으로 80여곳에 달했다. 여기서 긁어모은 신용카드 정보는 20여만건이었고, 149건은 비밀번호까지 유출돼 현금 인출에 이용됐다.

경찰 관계자는 “단말기 해킹으로 신용카드 고객정보가 유출된 경우는 종종 있었으나 비밀번호까지 빠져 나간 것은 처음”이라고 밝혔다. 경찰은 검거된 3명 외에도 해킹 작업을 주도한 주범을 추적하고 있다.

◇은행 유출 정보로 ‘맞춤형’ 보이스피싱, 은행은 유출 사실도 몰라=서울 강북경찰서는 은행에서 유출된 개인 금융정보로 보이스피싱 사기극을 벌인 이모(43)씨 등 일당 4명을 구속했다. 텔레마케터나 인출책으로 가담한 서모(25)씨 등 5명은 불구속 입건했다. 개인정보가 유출된 사람 중 은행에서 고금리 대출을 받은 사람이 표적이었다. “저금리 대출로 전환해주겠다”며 대출 상환예치금 명목으로 3700여만원을 받아 가로챘다.

이씨 등은 경기도 일산의 오피스텔 두 곳을 빌려 사무실을 차리고 중국 인터넷 사이트 등에서 7000여건 개인정보를 수집했다. 그중엔 지난해 말 유출 사실이 드러난 한국씨티은행의 고객 개인정보가 들어 있었다. 씨티은행은 당시 대출 담당 직원이 2011∼2012년 대출기록이 담긴 정보를 빼돌렸다고 밝혔지만 이들이 확보한 씨티은행 고객 정보 중 1300여건은 2013년 1월 이후 추가로 유출된 것이었다. 경찰 관계자는 “은행에선 수사 전까지 유출 사실을 전혀 파악하지 못하고 있었다”고 말했다.

씨티은행에서 유출된 개인정보는 이름 주민등록번호 연락처 대출기간 대출금 이자율 직업 등이다. 이들은 연 10% 이상 고금리 대출을 받은 사람들을 타깃으로 전화를 걸었다. “저금리 대출로 전환하려면 고금리 대출 실적이 더 있어야 한다”고 피해자들을 유인했다. 피해자들은 대부업체 등에서 연 38%나 되는 고금리 대출을 받은 뒤 이를 상환예치금 명목으로 일당의 대포통장에 입금했다.

전수민 이도경 기자 yido@kmib.co.kr