씨티銀, 카드정보 노출로 5천만원 무단결제

15일 금융권에 따르면 지난 2월 1일부터 6일까지 한국씨티은행의 씨티카드 고객 20여명의 카드에서 전자상거래를 통한 5000만원 상당의 신용카드 결제가 본인도 모르게 이뤄진 것으로 밝혀졌다.

현재 씨티은행 측은 외부와의 채널을 단절한 상태로, 이번 카드정보해킹사건은 은행시스템이 해킹된 것이 아니고 결제대행서비스 업체의 하위가맹점(sub가맹점)이 해킹돼 발생된 사고라는 공식입장만을 밝혔다.

또한 고객 보호를 위해 피해 고객들에게는 보상 조치가 진행될 것이며, 신용카드부정사용예방시스템(Fraud Detection System)을 통해서 추후 동일한 사고가 발생하지 않도록 모니터링을 강화할 것이라는 입장을 밝혔다.
하지만 이번 개인정보 유출이 PG사의 전산망 해킹에 의한 것이라는 씨티은행 측의 주장은 설득력이 낮아 보인다. 우선 PG 사의 경우 은행 전산망과의 연계서비스만을 제공하기 때문에 개인 정보가 PG사의 시스템 상에 남지 않는 구조다. 따라서 실제로 시스템이 해킹을 당했다 해도 개인정보가 유출될 가능성은 낮다.

게다가 PG 사의 경우 현재 다양한 기관의 결제서비스를 대행해주는 구조이기 때문에 개인고객의 피해가 씨티은행의 카드고객에게만 집중됐다는 점 역시 이러한 주장을 뒷받침해 주기에 충분하다.

문제는 한국씨티은행의 개인정보 유출에 대한 위험성은 꾸준히 지적되어온 분야라는 점이다.

우선 옛 씨티카드 회원들이 씨티은행 홈페이지를 통해 온라인 서비스를 받고자 하면 카드번호와 카드 비밀번호를 입력해야만 한다. 이는 기타 금융기관의 홈페이지가 단순히 ID와 패스워드만으로 거래를 할 수 있는 것과 비교하면 개인정보 노출의 위험이 상대적으로 높은 것이다.

또한 일부 신용카드 고객에 대해서는 카드 뒷면의 CVC코드 인증 과정이 누락된 것으로 밝혀졌다. 따라서 공인인증서를 통한 인증과정을 거치지 않아도 되는 30만원 미만의 거래에서는 사실상 보안장치가 전무한 상태다.
그러나 다양한 해킹 방법이 봇물을 이루는 현실을 반영하면 개인 PC로의 접근을 통한 개인정보유출의 가능성도 배제할 수 없다. 웹페이지의 경우는 오픈된 상태이기 때문에 개인정보 갈취가 금융기관 전산망을 해킹하는 것보다 상대적으로 쉬운 것 또한 사실이다.

가장 큰 문제는 이번 피해사고가 단시간에 이뤄진 것이 아니라 무려 6일 동안이나 지속됐다는 점이다.

따라서 카드결제가 이뤄지면 실시간으로 정보를 제공해야 하는 금융기관으로서의 책임을 다하지 못했다는 지적이 무엇보다 크다. 결과의 여부를 떠나 씨티은행은 사실상 책임을 회피할 수 없는 입장이며, 신속한 보상조치가 진행된 것도 이러한 원인에 기반하고 있다.

사건의 내막이 밝혀지기까지는 수일의 시간이 더 소요될 것으로 보인다. 이번 개인정보유출사고는 14일에 공식적으로 경찰청 사이버 테러 대응센터에 접수됐고, 현재는 접수된 문서를 파악하고 있는 단계다. 또한 이번 피해사고의 영장이 빠르면 16일, 늦으면 설 연후 이후에야 발부되기 때문에 사실상 본격적인 수사의 시작이 설 연휴 이후로 미뤄진 상태다.
씨티은행 사건을 담당하고 있는 경찰청 사이버 테러 대응센터의 수사 관계자에 의하면 “현재 설 연휴를 앞두고 있어 기타 기관과의 수사협조가 사실상 이뤄지지 못하고 있다”며 “현재는 접수된 서류를 분석하는 단계로 본격적인 수사는 압수수색영장이 발부된 이후가 될 것”이라고 말했다.

고객정보의 노출이 어떠한 방식으로 이뤄졌는지를 정확히 파악하기 위해서는 좀 더 시간이 소요될 것으로 보인다. 그러나 글로벌 선도 은행을 자칭하고 있는 씨티은행은 자행의 이미지에 커다란 생채기가 난 것을 피할수 없게 됐다.



김남규 기자 ngkim@fntimes.com