#2 중학생 D(15)군은 2014년 10월 친구 E(15)군 등 5명과 함께 온라인 가상화폐 비트코인으로 외국인 명의 신용카드 개인정보를 사들여 카드를 위조했다. 서울지방경찰청 국제범죄수사대에 따르면 이들은 불법 구매한 신용카드 개인정보를 실물 카드에 입력해 위조카드 60여 장을 만들었다. 이후 대포차, 대포폰을 활용해 전자상가 등에서 컴퓨터 부품을 구매하거나 유흥비 등으로 795회에 걸쳐 2억 원 상당을 부정 사용했다. 승인받은 8100만 원 가운데 6100만 원은 구매 물품을 장물업자에게 되파는 식으로 현금화한 것으로 경찰 조사 결과 밝혀졌다.
3월 경찰에 검거된 두 사례에서 신용카드를 위조할 때 사용한 장비가 마그네틱카드 스키머(리드&라이터·마그네틱카드 안의 정보를 읽고 쓰는 기계)다. 스키머는 일반 업소에서 회원카드 등을 만들어 관리할 때 사용하는 장비로 해외 인터넷 쇼핑몰에서 15만 원 선에 구매할 수 있다. G마켓, 옥션 같은 국내 쇼핑사이트에서도 30만 원 안쪽이면 제품을 구할 수 있다. 서울 용산전자상가에서 전자기기와 컴퓨터 부품을 판매하는 한 상인은 “현재 재고가 없으니 필요하면 예약하고 찾아가거나 원한다면 퀵으로 보내주겠다”며 현금가 35만 원을 제시했다.
카드 위조 장비 15만 원이면 구매 가능
신용카드 위조가 얼마나 쉽기에 중학생도 이런 일이 가능한 것일까. 신용카드 위조에 대한 정보를 찾는 건 생각보다 어렵지 않았다. 온라인에서 몇 가지 검색어를 조합하자 스키머를 판다는 글을 쉽게 찾을 수 있었다.
“스키머(카드 리드&라이터) 팝니다. 컴맹분들도 충분히 쉽게 사용할 수 있게 세팅과 프로그램 해드립니다. 갈 길 없고 꼭 하실 분만 연락 요망. 뉴스에 가끔 나오는 그 물건입니다.”
스키머라는 장비를 만드는 것은 물론, 이를 사고파는 것도 불법이 아니다. 그러나 문제는 이들이 스키머와 함께 신용카드 위조 방법과 개인정보를 판다는 점이다. 스키머만 있으면 신용카드 위조도 어렵지 않다. 스키머를 개인용 컴퓨터와 연결하고 데이터 인코더 프로그램을 실행하면 준비는 거의 끝난 셈이다. 이제 신용카드 개인정보와 이를 덮어씌울 실물 카드만 있으면 1분도 안 걸려 카드를 위조할 수 있다.
이번에 여신전문금융업법 위반 등으로 검거된 중학생 D군에게는 동종 전과가 있었는데, 똑같은 범죄를 다시 저지를 수 있었던 것도 신용카드 위조가 무척 쉬웠기 때문이다. 마그네틱카드 제조업체 관계자는 “일반 회원카드나 기프트카드를 만드는 방식과 동일하다고 보면 된다. 다만 어떤 정보가 들어가느냐가 다를 뿐이다. 카드에 전사까지 마치면 일반인 눈으로는 위조된 카드인지 알기 쉽지 않을 것”이라고 말했다.
전 세계의 신용카드 개인정보를 불법으로 판매 중인 블랙마켓(위). 스키머 자체는 일반 업소에서도 쓰는 장비로 불법이 아니지만, 마그네틱카드의 내용을 쓰고 지울 수 있어 위조와 복제에 악용될 여지가 있다. 온라인 쇼핑몰 아마존에서 판매 중인 스키머.
아예 실시간으로 DB(데이터베이스)를 판다는 글도 쉽게 찾을 수 있었다. 대다수는 성인·대출·카지노 광고 문자메시지의 무작위 발송을 위한 DB로 이름과 전화번호, 주소 등의 개인정보를 판다고 설명돼 있었다. 기자가 접촉한 업자는 “개인정보 1만 건에 50만 원”이라며 “정기적으로 거래하거나 한 번에 5만 건 이상 사면 할인해준다”고 생색을 냈다. 통상적으로 개인정보는 1만 건당 30만~50만 원 선에서 불법거래되고 있었다. 과거 굵직한 개인정보 유출 사태로 본의 아니게 공공재가 돼버린 우리의 개인정보도 이 중에 섞여 있을 것이다. 남의 정보로 돈을 버는 봉이 김선달이 널려 있음을 알 수 있었다.
개인정보 판매 블랙마켓도
입출금 내용 확인을 어렵게 하려면 외국인의 신용카드 정보를 구하는 게 범죄자 처지에서는 안전할 터. 외국인의 신용카드 개인정보는 외국 해커들로부터 구매할 수 있었다. 이들은 CVV를 포함한 미국, 캐나다, 유럽, 일본, 싱가포르 등의 크레디트카드 정보를 판매한다고 말했다. 온라인 가상화폐인 PM(Perfect Money), WM(Web Money), BTC(Bitcoin), WU(Western Union), MG(Money Gram)로만 거래가 이뤄지는 건 이들 사이의 불문율이다. 50~150달러면 신용카드 개인정보 1건을 구매할 수 있다. ‘무조건 선불’ ‘찔러보지 마라’ ‘30건을 사면 할인해준다’ ‘장비를 사면 개인정보 10건을 덤으로 주겠다’ 등은 만국 공통 거래 방식이었다.
작정하고 신용카드 정보를 사고파는 블랙마켓도 있다. 웹사이트 주소가 수시로 바뀌는 이곳에서는 전 세계의 신용카드 개인정보가 팔리고 있었다. 국내 신용카드 개인정보도 있었다. 국가를 South Korea로 설정하고 검색하자 2016년 9월 만료 예정인 국내 VISA카드 정보가 115.5달러에 판매 중임을 확인할 수 있었다. 사이트 공지사항 칸에는 3월 24일에도 ‘USA 신용카드 정보 업데이트’ 공지가 떴다.
신용카드 위조 범죄는 전 세계적으로 큰 문제다. 미국에서는 2013년 말 소매업체 타깃의 POS(Point of Sales) 시스템이 해킹돼 고객카드의 개인정보 4000만 건이 유출되고 이 정보가 카드 위조 범죄에 쓰이는 사건도 있었다. 당시 말로리 던컨 미국 소매협회 고문 변호사는 ‘뉴욕포스트’와 인터뷰에서 “우리는 21세기 해커에 맞서 20세기에서 온 카드를 쓰고 있다. 도둑은 발전했지만 카드사는 그대로였다”고 비판했다.
국내에서는 보안이 취약한 마그네틱카드를 보안 기능이 강화된 IC카드로 대체하고 있다. IC카드는 마이크로프로세서와 메모리를 내장해 위·변조가 비교적 어렵다. 3월부터는 현금자동입출금기(ATM)에서 마그네틱카드를 이용한 카드대출 거래가 전면 제한된다. 금융감독원 관계자는 “현재 국내 이용자의 IC카드 전환율은 99%에 육박한 상태다. 다만 마그네틱카드를 사용하는 일부 외국인을 위해 5월 말까지 한시적으로 각 자동화기기 코너별 ATM 1대에 대해 마그네틱카드 이용이 가능하도록 운영할 예정”이라고 말했다.