수억대 선불카드 해킹사고 ‘명백한 인재인데 쉬쉬한 카드사’

국내 대형 카드회사가 발행한 선불카드(기프트카드)의 정보가 유출돼 수억원의 피해가 발생했다. 금융당국은 카드회사 홈페이지에 중국 범죄조직이 접속해 무작위로 카드번호와 CVC번호를 입력하는 방법으로 카드정보를 빼냈다고 보고있다.
19일 금융감독원과 카드업계에 따르면 한 범죄조직은 지난해 12월부터 올해 1월까지 약 한달간 대형카드회사인 A사와 B사의 홈페이지에 접속해 총 3억5000만원에 달하는 50만원권 선불카드 수백장의 카드정보를 빼냈다. 이 조직은 선불카드를 먼저 구매한다음 해당 카드사의 홈페이지에 있는 선불카드 등록 및 잔액조회 화면에서 카드번호 생성기 등을 이용해 유효기간이 같은 카드번호 16자리를 확인했다.
선불카드의 경우 유효기간이 같다면 일정한 패턴으로 카드번호가 만들어지는데 이를 조합해 자신들이 실제 보유하지 않은 유효한 카드번호를 맞춘 것이다.
카드번호를 안 뒤에는 비밀번호 역할을 하는 유효성확인코드인 CVC번호 무작위 숫자 입력 프로그램으로 알아냈다. 000부터 999까지 숫자를 입력해 맞추는 형식인데 이같은 수법은 임의 숫자를 무한정 입력하는 방식으로 실제 값을 찾아내는 기초적인 해킹방식이다.
금감원 관계자는 “카드사의 시스템을 해킹한 것은 아니지만 단순한 방식으로 시스템에 접속해 무작위로 번호를 입력한 것으로 엄밀히 보면 해킹의 한 종류”라며 “기존에 선불카드 복제사고는 선불카드가 IC카드가 아닌 점을 악용해 조악하게 복제한 것이 특징이지만 이번 방식은 기존 방식과는 다르게 대규모로 정보를 빼낸 것”이라고 밝혔다.
선불카드는 발행 카드회사 홈페이지에서 실제 소유자가 아니더라도 잔액확인이 가능하다. 문제는 잘못된 CVC 값을 수차례 입력하더라도 조회제한이 걸리는 시스템이 없었다는 점이다. 무작위 추출 프로그램으로 무한 반복해서 CVC값을 입력해도 카드사 홈페이지는 이를 걸러내지 못했다.
선불카드의 경우 카드번호와 유효기한, CVC 번호만 있으면 온라인에서 결제도 가능하다보니 범죄조직은 확보한 카드정보를 카카오톡을 통해 국내 카드 범죄 조직에 팔아 넘겼다. 국내 범죄조직은 선불카드로 온라인에서 모바일 상품권을 구입하고 이를 되파는 수법으로 현금화했다. 중국 범죄조직에는 2억9000만원을 송금했다.
현재까지 파악된 피해는 A사가 500만원(10여건), B사가 990만원(20여건)이다. 이는 민원으로 파악된 피해인데 앞으로 피해는 더 늘어날 수 있다. 해당 카드사들은 해당 피해액도 전액 보상한다는 방침이다.
A카드사 관계자는 “선불카드는 무기명 비실명이기 때문에 소지자를 알 수 없으며 누구든 가능한 잔액 조회를 막으면 오히려 민원이 발생해 열어놓았다”며 “현재는 잔액 조회 오류 제한 조치를 했고 본인인증도 강화했다”고 밝혔다.
카드사들은 피해 민원 신고를 받은 뒤에도 금감원에 보고한 뒤 다른 고객에게는 이를 알리지 않았다. 지난달 말 금감원은 각 카드사에 조회시스템 보안 강화를 지시했다. 또 경찰은 국내 범죄조직 주범 이 모씨(23)를 컴퓨터 등 사용 사기 혐의로 구속하고 일당 8명을 불구속 기소의견으로 검찰에 송치했다. 중국 범죄조직에 대해서는 실체 파악에 나섰다.
금감원 관계자는 “전자금융감독규정에서도 일정 횟수 이상 값을 잘못 입력하면 조회 제한이 되고 사용중지되는 규정이 있는데 가장 기초적인 부분에서 미흡함이 있었던 것”이라며 “해당 카드사 자체적으로 책임자에 대한 제재가 내려질 예정”이라고 밝혔다.
[정석우 기자 / 김효성 기자]

[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]