기프트카드 해킹에 뚫리고도 보안대책 미적대는 카드사

기프트카드(카드에 미리 돈을 충전해 쓰는 선불카드) 정보 도용 사고가 터지자 카드사들이 부랴부랴 대책 마련에 나섰다. 하지만 소비자 피해가 우려되는 상황에서도 카드사들이 비용 문제 등을 이유로 보안 대책에 적극적인 자세를 보이지 않는다는 지적이 나온다.

21일 카드업계에 따르면 이번 정보 도용 사고가 난 주요 카드사 2곳은 문제가 됐던 CVC 번호(인증번호)와 관련해 조회 오류 횟수를 4∼5회로 제한하고, 로그인 시 회원가입 및 휴대전화 인증이 필요하도록 절차를 강화했다. 여신금융협회도 “기프트카드 온라인 조회 시 정보입력 오류가 발생하면 이용을 차단하고, CVC 번호와 마그네틱선 일부를 보안 스티커로 가리는 방안을 추진하겠다”고 밝혔다. 기프트카드는 유통업자들이 카드번호와 CVC 번호를 미리 적어놓은 뒤 판매하는 폐해가 발생하기 쉽다는 점, 실물카드 없이도 온라인에서 사용할 수 있다는 점 등 보안이 취약했던 부분을 개선하겠다는 설명이다.

중국 해킹 조직은 두 카드사 홈페이지에서 50만원권 기프트카드의 카드번호와 유효기간을 알아낸 후 000∼999까지 CVC 번호를 반복 대입해 3억5000만원 상당의 카드 고객 정보를 빼내 국내 카드범죄 조직에 팔아넘겼다. 이 과정에서 1500만원 상당의 소비자 피해가 발생했다. 카드업계는 이번 사고로 발생한 소비자 피해액을 카드사가 부담하기 때문에 소비자 피해는 전혀 없다는 입장이다.

하지만 카드업계의 ‘뒷북’ 대책을 두고 보안 사고에 대한 인식이 안이하다는 지적이 제기되고 있다. 금융 당국 관계자는 “이번 사고는 해킹이라고 보기도 모호한 기본적인 해킹”이라며 “카드사들이 보안 투자를 제대로 하지 않고 있다”고 꼬집었다.

기프트카드 보안 문제가 지속적으로 거론돼 왔지만 카드사들은 비용 문제를 들어 눈치를 보고 있다. 특히 보안 스티커의 경우 이번 사건과는 별개로 기프트카드 유통 과정에서 발생하는 불법복제 문제를 해결하기 위해 관련 시스템을 마련하고서도 논의가 진척되지 않다가 사고가 나자 최근 추진 속도가 빨라졌다. 다만 일부 카드사들에 국한됐던 논의를 전체 카드사로 넓혀야 하기 때문에 시간이 필요하다.

기프트카드에 마그네틱선 대신 보안성이 높은 IC칩을 활용하자는 제안도 카드사들이 난색을 표하고 있다. 장당 카드 발행 단가가 높아지기 때문에 수익성이 낮은 기프트카드를 공들여 만들기 어렵다는 이유를 든다. 카드업계 관계자는 “비용 등의 문제를 고려할 때 현실적 대안을 찾을 수밖에 없다”고 말했다.

백상진 기자 sharky@kmib.co.kr