주간동아 724

2010.02.16

뻥 뚫린 ‘안심클릭’ 카드사가 피해 키웠다!

온라인 신용카드 해킹 두 달간 ‘쉬쉬’… 3초 만에 무더기 결제, 금감원은 책임 회피

  • 김승훈 서울신문 사회부 기자 hunnam@seoul.co.kr

    입력2010-02-10 11:07:00

  • 글자크기 설정 닫기
    뻥 뚫린 ‘안심클릭’ 카드사가 피해 키웠다!
    A씨는 지난해 11월 말 잠자리에서 일어나자마자 경악했다. 자는 동안 휴대전화 문자메시지함에 5만5000원, 11만원 등 수십 건의 신용카드 이용내역이 찍혀 있었기 때문이다. 오전 2시 30분 전후로 무려 247만원이나 사용됐다. 모두 온라인 소액결제시스템인 ‘안심클릭’을 통해 결제된 것. 그는 곧장 카드사에 연락했다. 카드사 측은 “본인 카드를 다른 사람에게 빌려주거나 개인정보를 유출한 것 아니냐”고 다그친 뒤 “승인금액은 이미 결제된 만큼 본인 과실 여부를 따진 뒤 청구 또는 취소해야 한다”고 말했다.

    붕괴된 인터넷 소액결제 시스템

    어이가 없었다. 이후 한 달이 넘도록 여러 차례 전화했지만 매번 카드사 측은 “개인정보 유출이나 타인 대여 여부 등을 파악한 뒤 본인에게 잘못이 없다고 판명되면 취소해주겠다”는 말만 되풀이했다. A씨는 너무 억울해 금융당국에 민원을 제기했다. 그러자 그동안 연락 한 통 없던 카드사에서 서너 차례나 전화를 걸어 민원을 취소해달라고 졸랐다. 그러면서 “인근 경찰서에 가서 ‘본인이 사용하지 않았다’고 신고한 뒤 그 신고접수증을 카드사에 제출하면 승인금액을 없애주겠다”고 말했다. A씨는 카드사가 알려준 대로 했다. 신고접수증 제출 일주일 만에야 겨우 승인금액이 취소됐다.

    B씨도 지난해 12월 말 같은 피해를 당했다. 오전 2시 전후로 5만5000원씩 결제된 내용이 휴대전화 문자메시지함에 여러 건 찍혔다. 사용금액은 모두 120만원. 처음에는 스팸문자인 줄 알고 신경 쓰지 않았다. 얼마 후 식당에서 카드로 계산하려다 “한도액을 초과했다”는 말을 듣고서야 신용카드가 도용됐음을 알아챘다. 카드사에 연락했더니 오히려 “카드를 분실한 게 아니냐. 카드번호, 안심클릭 비밀번호 등을 알아야 하는데 제3자가 어떻게 사용할 수 있느냐”고 따져 물었다. B씨는 거듭 자신이 쓴 게 아니라고 하소연했다. 이튿날 카드사에서 연락이 와 “아무래도 부정 사용된 것 같다. 경찰에 신고한 뒤 신고접수증을 제출하라”고 말했다. B씨는 “내 잘못인 듯 몰아붙인 데 대해서는 사과 한마디 없었다”며 목청을 돋웠다.

    “짧은 시간 안에 한 웹사이트에서 수십 건의 소액결제가 이뤄졌는데도 이를 카드 불법 사용이라고 의심하지 않고, 오류나 승인거절이 단 한 차례도 없었다는 게 충격일 따름입니다. 상황이 이런데 누가 ‘안심’하고 카드를 사용할 수 있겠습니까.”



    신용카드 온라인 결제수단인 ‘안심클릭’ 보안시스템이 해킹으로 붕괴돼 개인 피해자가 속출하고 있다. 하지만 안심클릭을 결제시스템으로 채택한 5개 카드사 중 신한·삼성·현대·롯데 4개 카드사는 고객들의 불안을 해소하기 위한 근본대책을 마련하기보다 피해 사실을 숨기기에 급급한 실정. 실제 지난해 11월부터 카드 부정 사용과 관련한 고객들의 신고가 잇따랐지만 카드사들은 쉬쉬하며 도용 방지를 위한 어떠한 대책도 세우지 않았다. 각 개인의 피해액 배상을 카드사가 아닌, 결제 중개업체와 온라인 가맹점이 떠안고 있기 때문이다.

    뻥 뚫린 ‘안심클릭’ 카드사가 피해 키웠다!
    뻥 뚫린 ‘안심클릭’ 카드사가 피해 키웠다!
    신종 해킹프로그램 동원 돈 빼내

    안심클릭은 온라인 결제 때 사용하는 본인 인증방식이다. 2004년 안심클릭 운영사인 비자코리아에서 개발한 결제시스템으로, 현재 삼성·현대·신한·롯데·외환 등 5개 카드사가 이용하고 있다. 카드번호, 안심클릭 비밀번호, CVV(카드 뒷면 서명란 번호 중 마지막 세 자리)만 입력하면 30만원 미만의 소액이 결제된다. 30만원 이상 결제 때는 공인인증서가 필요하다. A카드사 관계자는 “공인인증서를 사용해야 하는 30만원 이상 결제보다 소액결제가 간편하다 보니 범행의 타깃이 되고 있다”고 말했다.

    서울지방경찰청 사이버수사대와 카드사에 따르면, ‘던전앤파이터’ 등 4개 게임사이트에서 삼성·현대·신한·롯데카드 4개 카드사의 신용카드가 무차별적으로 불법 사용되고 있다. 해킹으로 유출된 카드정보가 안심클릭 소액결제시스템에서 마구잡이로 도용되고 있는 것. 해커들은 주로 온라인상에서 현금화가 가능한 게임 아이템 등을 구입한 것으로 드러났다.

    안심클릭을 통한 불법 카드결제는 지난해 11월 말 처음 포착된 뒤 12월 들어 한두 건씩 간헐적으로 이뤄지다, 올 초부터 급증하는 상태다. 1월5일부터 21일까지 모두 1451건이 불법 결제됐고, 피해액도 1억2900만원에 이른다. 문제는 피해 규모가 앞으로 얼마나 커질지 알 수 없다는 점. 삼성카드의 경우 1월12일에는 부정 사용 건수가 50건이었지만 21일에는 410건으로, 9일 만에 720% 폭증했다. 피해액도 200만원에서 3800만원으로 1800% 증가했다. 신한카드는 같은 기간 부정 사용 건수가 410%, 피해액은 1000% 늘었다(표 참조). 2월9일 현재까지 전체 피해 건수는 2000여 건, 피해액은 2억여 원.

    불법 카드결제는 2단계로 이뤄졌다. 먼저 해커들이 ‘온라인 쇼핑몰 피싱’이나 ‘키로그 프로그램’(해킹 프로그램)을 활용한 개인컴퓨터(PC) 해킹을 통해 카드번호, 비밀번호, CVV 같은 카드정보와 주민등록번호 등의 개인정보를 빼냈다. 온라인 쇼핑몰 피싱은 쇼핑몰에 시중 가격보다 배 이상 낮은 가격으로 물건을 파는 것처럼 위장 광고를 낸 뒤, 구매자가 구매 절차 입력을 마치면 ‘에러’ 표시를 띄우는 방법이다. 에러 창이 뜨는 순간, 구매자의 카드정보와 개인정보가 모두 빠져나간다.

    키로그 프로그램은 인터넷에서 프로그램 등을 내려받을 때 PC에 자동으로 깔린다. 일단 설치되면 개인들이 키보드로 입력하는 내용이 모두 해커가 지정한 특정 e메일로 전송된다. 해커는 키보드 입력 내용을 분석해 카드정보, 비밀번호 등을 알아낸다. C카드사 관계자는 “이번 건은 90% 이상이 키로그 프로그램을 활용한 해킹으로 카드정보가 빠져나갔다”고 밝혔다.

    해커들은 이런 식으로 빼낸 카드정보를 게임사이트의 안심클릭 결제시스템을 통해 무작위로 부정 사용했다. 경찰 관계자는 “게임 아이템 등 온라인에서 현금화가 가능한 것들만 구입했다”며 “오프라인에서 물건을 받아야 현금화할 수 있는 고액물품보다 결제가 쉽고, 수사당국에 걸릴 위험성도 낮다고 판단한 것 같다”고 설명했다.

    뻥 뚫린 ‘안심클릭’ 카드사가 피해 키웠다!

    해킹을 통한 ‘안심클릭’ 불법 카드결제 수사에 나선 서울지방경찰청 사이버수사대.

    고객 탓하며 미봉책만 발표

    종전과 달리 이번 불법 카드결제에는 수초 만에 수십 건의 결제가 이뤄지는 자동 해킹 프로그램이 동원돼 충격을 더한다. 해커들이 휴대전화 자동 알리미 서비스에 가입한 개인 고객들을 따돌릴 수 있었던 이유도 이런 단축된 시간차 공격 때문이었다. 일명 ‘자동결제 해킹 프로그램’이라고 불리는 이것은 카드번호, 비밀번호 등을 일일이 손으로 입력하지 않아도 프로그램 자체가 카드정보를 자동 입력해주기 때문에 결제 시간이 크게 단축된다. 과거 수작업 때는 결제 한 건당 40~50초 소요되던 것이 이번에는 수십 건을 결제하는 데 3~4초밖에 걸리지 않았다. 3초에 한 건씩만 결제해도 하루에 2만8800건을 결제할 수 있다.

    따라서 개인이 휴대전화로 피해상황을 직접 확인하고 카드사에 전화를 걸 때쯤이면 이미 상황이 종료된 상태. C카드사의 또 다른 관계자는 “3초 만에 결제승인 요청이 폭발적으로 올라온 건 이번이 처음이다. 온라인상의 불법 카드결제도 새로운 국면에 접어들었다. 수작업으로 하던 과거보다 피해 규모가 커질 수밖에 없다”며 우려를 표했다.

    상황이 이런데도 안심클릭 운영사와 카드사들은 개인정보를 소홀히 관리한 고객 탓을 하며 미봉책만 쏟아내고 있다. 이를 관리 감독해야 할 금융당국은 미온적 태도로 일관한다. 비자코리아의 관계자는 “한때 안심클릭을 통한 부정 사용이 문제돼 2006년 7월부터 결제 시 CVV 숫자를 입력하도록 하는 등 보안을 강화했다. 그 후 안심클릭을 통한 불법 카드결제는 한 건도 없었다. 해당 카드사들의 서버가 해킹당하거나 고객들이 카드를 분실하지 않는 한 안심클릭을 통한 불법 카드결제는 불가능하다”고 강변했다.

    카드사 관계자의 주장도 별반 다르지 않다. “개인들이 개인정보나 카드정보 등을 잘못 관리했기 때문에 피해가 생겼다”는 것. 하지만 각 카드사가 최근 게임사이트에 취한 행동을 보면 이번 해킹 피해의 책임이 누구에게 있는지 극명하게 드러난다. 카드사들은 불법 카드결제 피해가 확산되자 문제가 발생한 4개 게임사이트에 대해서만 금액에 상관없이 모두 공인인증서를 사용하도록 결제시스템을 바꿨다. 반면 나머지 게임사이트와 온라인 쇼핑몰에는 어떤 대책도 취하지 않았다.

    각 카드사는 대외적으로 “고객들의 이용 편의성을 고려했다”고 밝히지만, 이 같은 대처가 카드정보 해킹을 통한 불법 카드결제를 막을 수 있는 근본대책이 될 수 없음은 불 보듯 뻔하다. 나머지 게임사이트나 온라인 쇼핑몰에서도 해킹 피해가 언제 발생할지 알 수 없는 상황이기 때문. 실제로 지난해 11월 중국 지린(吉林)성의 해커가 온라인 쇼핑몰에서 티셔츠 등 의류 500만원어치를 중국 현지로 배달시킨 뒤 현금화하는 사건이 발생했다. 금융감독원(이하 금감원) IT감독팀 관계자는 “카드번호, CVV, 안심클릭 비밀번호가 해킹됐다면 어느 웹사이트에서든 불법 카드결제가 가능하다. 문제가 있다면 고객 편의나 전자상거래 위축 등을 고려해 보안강화 여부를 결정하겠다”고 말했다. 신용카드의 온라인 결제 보안에 대한 관리 감독권을 가진 금감원은 불법 카드결제가 극성을 부리고 있는데도 이처럼 원론적인 말만 되풀이하면서 어떤 대책도 내놓지 못하는 상태다.

    뻥 뚫린 ‘안심클릭’ 카드사가 피해 키웠다!
    PG사와 가맹점에 책임 떠넘기기

    경찰은 모든 온라인 가맹점으로 수사를 확대하겠다는 계획이다. 사이버수사대 관계자는 “국내 카드사들로부터 피해 내용을 제출받아 카드정보 유출 경위, 결제 단계 등을 수사하고 있다. 결제내역을 분석하면 피해가 발생한 온라인 가맹점을 모두 파악할 수 있다. 결과가 나오는 대로 문제가 된 넥슨 등 4개 게임사이트뿐 아니라 모든 온라인 가맹점 등으로 수사를 확대할 것”이라고 밝혔다.

    경찰은 이번 사건을 중국 해커 조직들의 소행으로 보고 있다. 수법 면에서 진화한 것 빼고는 과거 게임사이트에서 카드정보를 도용한 방식과 유사하기 때문. 중국 해커가 게임사이트에서 게임 아이템 등을 구입한 뒤 같은 조직원의 아이디로 보내고, 그 조직원은 또 다른 조직원의 아이디로 보내는 등 몇 사람을 거친 뒤 국내 환전책을 통해 현금화하는 방식이다. 경찰 관계자는 “국내 환전책은 물론, 중국 해커의 접속지역 등 명확한 자료가 나오면 중국 수사당국에 협조를 요청해 중국 현지의 범죄조직도 뿌리 뽑겠다”고 강조했다.

    한편 각 카드사는 불법 카드결제의 피해액 변제책임을 온라인 결제 중개업체 PG사(Payment Gateway)와 온라인 가맹점에 떠넘김으로써 비난을 사고 있다. ‘카드사 → PG사 → 온라인 가맹점’으로 이어지는 ‘책임 떠넘기기’식 계약이 바로 그것. 현행법상 카드정보가 유출돼 피해가 생길 경우 카드사가 1차적으로 피해액을 부담하도록 규정돼 있지만, 각 카드사는 이런 규정을 무시한 채 피해액 배상책임을 온라인 가맹점을 모집·관리하고 가맹점과 카드사의 대금결제를 중개하는 PG사로 떠넘기고 있으며, PG사는 또다시 이를 온라인 가맹점에 전가하는 게 관행처럼 굳어 있다.

    D카드사 관계자는 “카드사들은 온라인 거래계약을 체결할 때 피해가 발생하면 피해액을 PG사가 물도록 계약을 맺는다. 카드사로선 금전적으로 손해 보는 게 없기 때문에 근본대책 마련에 뒷전일 수밖에 없다. 카드사들이 수수방관하는 동안 고객들의 피해가 산더미처럼 불어났다. 회원들이 민원을 제기하면 그때그때 처리할 뿐 원인 규명이나 피해내역 등 기본적인 사항조차 제대로 파악하지 않는다”고 귀띔했다.

    PG사도 이런 관행을 부인하지 않는다. PG사인 한국사이버결제(KCP) 관계자는 “법에는 해킹, 도난 등에 의해 고객의 신용카드가 부정 사용되면 카드사가 책임지도록 돼 있지만, 실제는 PG사나 온라인 가맹점이 모두 부담하도록 계약이 맺어진다”고 확인했다. 또 다른 PG사인 KS넷 관계자는 “카드사는 PG사, PG사는 온라인 가맹점이 책임을 지도록 계약을 맺는다. 결국 책임은 말단 가맹점이 진다. 사업현장에서는 평등 관계가 성립되지 않는다”고 주장했다.

    이들 PG사의 주장이 사실이라면 모든 피해액을 넥슨 등 4개 게임사가 부담해야 할 판이다. 다만 넥슨의 경우 삼성전자가 피해액을 떠안게 됐다. ‘던전앤파이터’를 유통시키는 삼성전자가 PG사와 관련 계약을 맺었기 때문이다. KS넷 관계자는 “삼성전자가 다 물어낼지, 넥슨과 공동 부담할지는 두 회사 문제”라고 말했다. 넥슨 관계자는 “책임이 없더라도 카드사나 PG사에서 가맹점에 손실액의 일정 부분을 부담해달라고 요청해오는 걸로 알고 있다. 물어줄 법적 책임은 없지만 카드사 요청이 있으면 그때 가서 판단하겠다”고 밝혔다.

    금감원 여신전문총괄팀 김영기 팀장은 “현행법상 카드사가 PG사와 가맹점의 고의나 중대한 과실을 증명하면 피해액의 전부 또는 일부를 부담시킬 수 있지만, 그렇지 않을 경우 책임 전가는 ‘불공정 거래’ 소지가 있다. 잘못이 없는 PG사나 가맹점은 금융분쟁조정 신청을 통해 구제받을 수 있다”고 밝혔다.



    댓글 0
    닫기