이제는 사용하지 않는 구형 카드 결제 단말기(POS)를 통해 57만건에 달하는 카드 정보가 도난된 것으로 확인됐다.
금융당국은 이번에 도난된 카드 정보만으로는 실물 카드를 위조하거나 국내외에서 결제가 승인될 가능성이 없으므로 추가 소비자 피해는 없을 것으로 전망했다.
금융감독원에 따르면 경찰청은 이달 9일 여신전문금융업법 위반 혐의를 받는 이 모(41) 씨로부터 압수한 이동식저장장치(USB)에서 다량의 카드 정보를 발견하고 금감원에 수사 협조를 요청했다.
중복되거나 유효기간 경과분 등을 빼고 이씨가 얻어낸 유효카드 수는 모두 56만8천개로 확인됐다.
전부 2017년 3월 이전에 발급된 카드로, USB에는 신용·체크카드의 카드번호와 유효기간이 담겼다. 비밀번호나 CVC(카드 유효성 검사 코드·뒷면 3자리 숫자), 주민등록번호는 없었다.
이번에 발견된 카드 정보는 이씨의 진술, 과거 범행 방식과의 유사성을 고려할 때 POS 단말기를 통해 도난된 것으로 보인다. 이씨는 2014년 4월에도 POS에 악성 프로그램을 심어 신용카드 정보를 유출한 혐의로 복역한 전력이 있다.
단 어느 지역에서 피해가 발생했는지, 어떤 경로로 유출됐는지, 도난 카드 정보가 더 있을지 등은 경찰 수사를 통해 밝힐 사항이라고 금감원은 설명했다.
금감원은 사건 발생 인지 직후 부정사용방지시스템(FDS)의 가동을 강화하는 등 긴급조치를 시행했다.
경찰청으로부터 입수한 카드번호를 금융회사에 즉시 제공했다.
해당 15개 금융회사는 FDS 등을 통해 이상징후가 감지되면 소비자에게 개별적으로 연락을 취하고 승인을 차단하고 있다.
FDS를 통해 점검한 결과, 최근 3개월간 유출된 카드 56만8천개 가운데 64개(0.01%)에서 약 2천475만원이 부정 사용된 것으로 확인됐으나 이번 도난 사건으로 인한 것은 아닌 것으로 금감원은 파악했다.
다만 이 부정 사용 건에 대해서도 금융회사가 피해를 전액 보상했다. 여신전문금융업법에 따라 해킹, 전산장애, 정보 유출 등 부정한 방법에 따른 카드 피해는 금융회사가 보상한다.
권민수 금감원 신용정보평가실장은 "통상적으로 전체 유통 카드량 대비 FDS로 탐지되는 (부정 사용) 수준이 0.02∼0.03% 수준인데 이번에는 0.01%에 불과하다"며 "금융회사의 통계적 경험상, 그리고 FDS 담당자의 정성적 판단에 따르면 이번 도난에 따른 이상 거래라고 볼 수 없다"고 설명했다.
비밀번호와 CVC 등이 빠져나가지는 않았지만, 사고를 예방하는 차원에서 금감원은 각 금융회사에 카드 교체 발급 및 해외 거래 정지 등록 등을 조치할 것을 권고했다.
권 실장은 "2018년 7월 모든 POS 단말기가 정보 유출에 취약한 종전의 마그네틱(MS) 방식에서 정보보안 기능이 크게 강화된 IC(집적회로) 방식으로 교체됐다"며 "IC 방식 단말기는 원칙적으로 최소한의 카드 정보만 암호화해서 저장하고, 정보 전송 방식도 암호화하기 때문에 이번과 같은 종류의 사건이 발생할 가능성은 작다"고 말했다.
이어 "카드 번호와 유효기간만으로는 실물 카드를 위조할 수 없다"며 "온라인 거래도 카드 결제 시 CVC나 비밀번호, 생년월일 등을 추가로 요구하기 때문에 피해 가능성이 희박하다"고 덧붙였다.
권 실장은 또 "해외 온라인 거래 시 일부에서는 카드 번호와 유효기간만으로 결제할 수 있긴 하지만 금융회사의 FDS를 통해 이상징후 거래는 소비자에게 통보하고 승인 차단하고 있다"며 "실제 발생한 소비자 피해 금액은 법에 따라 전액 보상하고 있다"고 말했다.
금감원은 이번 사건과 관련해 검찰·경찰·금감원·카드사 등의 사칭에 유의해야 한다고 강조했다.
권 실장은 "카드 비밀번호 등 금융 거래정보를 요구하고 보안 강화 등을 이유로 특정 사이트에 접속하게 하거나 링크 연결, 애플리케이션(앱) 설치 등을 유도할 경우 모두 100% 사기이므로 유의해야 한다"고 설명했다. /연합뉴스
금융당국은 이번에 도난된 카드 정보만으로는 실물 카드를 위조하거나 국내외에서 결제가 승인될 가능성이 없으므로 추가 소비자 피해는 없을 것으로 전망했다.
금융감독원에 따르면 경찰청은 이달 9일 여신전문금융업법 위반 혐의를 받는 이 모(41) 씨로부터 압수한 이동식저장장치(USB)에서 다량의 카드 정보를 발견하고 금감원에 수사 협조를 요청했다.
중복되거나 유효기간 경과분 등을 빼고 이씨가 얻어낸 유효카드 수는 모두 56만8천개로 확인됐다.
전부 2017년 3월 이전에 발급된 카드로, USB에는 신용·체크카드의 카드번호와 유효기간이 담겼다. 비밀번호나 CVC(카드 유효성 검사 코드·뒷면 3자리 숫자), 주민등록번호는 없었다.
이번에 발견된 카드 정보는 이씨의 진술, 과거 범행 방식과의 유사성을 고려할 때 POS 단말기를 통해 도난된 것으로 보인다. 이씨는 2014년 4월에도 POS에 악성 프로그램을 심어 신용카드 정보를 유출한 혐의로 복역한 전력이 있다.
단 어느 지역에서 피해가 발생했는지, 어떤 경로로 유출됐는지, 도난 카드 정보가 더 있을지 등은 경찰 수사를 통해 밝힐 사항이라고 금감원은 설명했다.
금감원은 사건 발생 인지 직후 부정사용방지시스템(FDS)의 가동을 강화하는 등 긴급조치를 시행했다.
경찰청으로부터 입수한 카드번호를 금융회사에 즉시 제공했다.
해당 15개 금융회사는 FDS 등을 통해 이상징후가 감지되면 소비자에게 개별적으로 연락을 취하고 승인을 차단하고 있다.
FDS를 통해 점검한 결과, 최근 3개월간 유출된 카드 56만8천개 가운데 64개(0.01%)에서 약 2천475만원이 부정 사용된 것으로 확인됐으나 이번 도난 사건으로 인한 것은 아닌 것으로 금감원은 파악했다.
다만 이 부정 사용 건에 대해서도 금융회사가 피해를 전액 보상했다. 여신전문금융업법에 따라 해킹, 전산장애, 정보 유출 등 부정한 방법에 따른 카드 피해는 금융회사가 보상한다.
권민수 금감원 신용정보평가실장은 "통상적으로 전체 유통 카드량 대비 FDS로 탐지되는 (부정 사용) 수준이 0.02∼0.03% 수준인데 이번에는 0.01%에 불과하다"며 "금융회사의 통계적 경험상, 그리고 FDS 담당자의 정성적 판단에 따르면 이번 도난에 따른 이상 거래라고 볼 수 없다"고 설명했다.
비밀번호와 CVC 등이 빠져나가지는 않았지만, 사고를 예방하는 차원에서 금감원은 각 금융회사에 카드 교체 발급 및 해외 거래 정지 등록 등을 조치할 것을 권고했다.
권 실장은 "2018년 7월 모든 POS 단말기가 정보 유출에 취약한 종전의 마그네틱(MS) 방식에서 정보보안 기능이 크게 강화된 IC(집적회로) 방식으로 교체됐다"며 "IC 방식 단말기는 원칙적으로 최소한의 카드 정보만 암호화해서 저장하고, 정보 전송 방식도 암호화하기 때문에 이번과 같은 종류의 사건이 발생할 가능성은 작다"고 말했다.
이어 "카드 번호와 유효기간만으로는 실물 카드를 위조할 수 없다"며 "온라인 거래도 카드 결제 시 CVC나 비밀번호, 생년월일 등을 추가로 요구하기 때문에 피해 가능성이 희박하다"고 덧붙였다.
권 실장은 또 "해외 온라인 거래 시 일부에서는 카드 번호와 유효기간만으로 결제할 수 있긴 하지만 금융회사의 FDS를 통해 이상징후 거래는 소비자에게 통보하고 승인 차단하고 있다"며 "실제 발생한 소비자 피해 금액은 법에 따라 전액 보상하고 있다"고 말했다.
금감원은 이번 사건과 관련해 검찰·경찰·금감원·카드사 등의 사칭에 유의해야 한다고 강조했다.
권 실장은 "카드 비밀번호 등 금융 거래정보를 요구하고 보안 강화 등을 이유로 특정 사이트에 접속하게 하거나 링크 연결, 애플리케이션(앱) 설치 등을 유도할 경우 모두 100% 사기이므로 유의해야 한다"고 설명했다. /연합뉴스