14일 금융감독원에 따르면, 금감원은 지난해 1월부터 올 4월까지 빈어택(BIN Attack)에 의해 씨티은행 'A+체크카드'가 부정 사용된 점 관련 검사 결과를 바탕으로 씨티은행에 대해 경영유의 2건, 개선요구 2건의 제재 조치를 의결했다. 빈공격은 카드 일련번호의 앞 6자리를 통해 특정 은행과 특정 상품을 유추해 카드번호를 알아내는 공격 방식이다.
금감원은 지난해 빈어택 유형 부정거래가 다수 발생해 씨티은행이 고객보상과 해외 온라인 가맹점 차단 등의 조치를 취한 바 있으나 원인 규명, 고객 보호조치, 재발방지 대책 등 후속조치가 제때 경영진에게 보고되지 않는 등 카드 부정사용 예방업무에 소홀하다고 보고 경영유의 조치를 취했다. 금감원은 "카드 부정사용에 관한 보고체계, 보고내용을 정비할 필요가 있다"고 밝혔다.
또 빈어택에 의해 'A+체크카드'가 부정하게 사용됐다고 직접 신고한 고객에게는 피해 보상과 해당 가맹점 차단 등의 조치가 이뤄졌으나, 부정거래 발생으로 차단 조치된 가맹점에서 결제한 다른 고객에 대해서는 실제 사용 여부를 확인하고 피해를 보전하는 등 적극적인 소비자 보호조치를 취하지 않은 점도 지적됐다.
체크카드 부정사용 피해 고객 보상절차 개선 필요성도 꼽혔다. 'A+체크카드'의 경우 고객의 부정사용 신고에도 불구하고 결제대금이 청구보류 되지 않고 사용한 지 3∼7일 뒤 고객 계좌에서 즉시 인출되고 있다. 그러나 이에 대한 보상은 해외 가맹점으로부터 환불처리 절차가 완료된 이후 진행되고 있어 부정사용에 대한 고객보상까지 45일 이상이 소요돼 고객보상이 상당기간 지연되는 것으로 나타났다. 금감원은 "부정사용으로 판단되는 건에 대해서는 보상을 우선 실시하는 등 부정사용 보상절차를 개선하길 바란다"고 밝혔다.
금감원은 씨티은행에 대해 "빠른 시일 내에 현행 부정사용방지시스템(FDS)을 개선하고 시스템 개선 전까지 제휴사로부터 승인거절 내역을 전송받아 부정사용 시도가 있었던 가맹점을 선별․차단하는 방법 등으로 취약점을 보완할 것"이라고 조치했다.
정선은 기자 bravebambi@fntimes.com