2014년 대규모 고객정보 유출 사태를 겪은 KB국민카드가 또 당했다.
상품권과 일반 상품의 구매 정보를 제대로 구분하지 못해 상품권 불법 결제에 당했다. 같은 수법에 당한 BC카드는 그나마 상품권 구매자에 대한 추가 인증 과정을 거쳤지만, 국민카드는 그마저도 없었다.
국민카드는 앞서 기프트카드 홈페이지도 해킹당했다. 다른 카드사들은 카드 뒷면에 새겨진 CVC(유효성 확인코드) 숫자가 3번 이상 틀리면 기프트카드를 쓸 수 없도록 했다. 반면 국민카드는 이 같은 장치가 없어 CVC 번호를 반복 입력한 해커 조직에 그대로 뚫렸다.
◇ 추가인증 과정 없었다
이번 고객정보 도용은 고객의 PC가 해킹당하면서 비롯된 만큼 일차적으로 고객의 책임이 크다. 다만 국민카드 역시 책임을 모면하긴 어렵다.
이번에 도용된 정보는 온라인 쇼핑몰에서 상품권을 사들여 현금으로 바꾸는 일명 '상품권 깡'에 쓰였다. 금융감독원은 이 같은 범죄를 막기 위해 온라인상에서 상품권을 결제할 때에는 휴대폰 SMS나 공인인증서 등 추가 인증 과정을 거치도록 권고하고 있다.
국민카드의 경우 상품권 구매자에 대한 추가 인증 절차가 있긴 했지만 실제로 실행하진 않았다. 상품권을 다른 일반 상품의 구매 정보와 따로 구분하지 못했기 때문이다. 국민카드는 쇼핑몰 측에서 상품권 구매 정보를 제대로 넘기지 않았다고 설명했다.
반면 G마켓과 11번가를 비롯한 온라인 쇼핑몰들은 2~3년 전부터 상품권에 대해선 별도의 가맹점 번호를 통해 카드사에 결제를 요청하고 있으며, 국민카드가 관리 부실의 책임을 떠넘기고 있다고 반박했다.
실제로 같은 수법에 당한 BC카드의 경우 상품권 결제를 인지하고, 추가 인증 과정을 거치긴했다는 점에서 국민카드의 설득력이 떨어진다.
◇ 여전히 기본 안지켰다
| ▲ 2014년 1월 20일 오전 서울 중구 코리아나호텔에서 사상 최대 고객정보 유출 사고를 낸 국민·농협·롯데카드사 대표들이 사과 및 피해대응방안 기자회견에 앞서 사과인사를 하고 있다. /이명근 기자 qwe123@ |
그러다 보니 국민카드의 보안시스템이 여전히 허술하다는 평가가 나온다. 2014년 대규모 고객정보 유출 사건 이후 보안을 강화하고 있지만 여기저기서 허점이 드러나고 있다.
국민카드는 작년 연말과 올해 초에도 기프트카드 홈페이지를 해킹당해 기프트카드의 CVC 번호가 유출됐다. 해커 조직은 빼돌린 CVC 정보를 가지고 이번 사건과 똑같이 상품권깡에 이용했다.
다른 카드사들은 CVC 번호가 3번 이상 입력 오류가 나면 기프트카드를 쓸 수 없도록 해 도용을 피해갔다. 반면 국민카드는 최소한의 보안장치도 없었던 탓에 CVC 번호를 반복 입력한 해커 조직에 당했다.
다른 카드사 관계자는 "국민카드는 대형 카드사인데도 가끔 이상하게 허술한 점이 많다"면서 "그러다 보니 꼭 문제가 생긴다"고 꼬집었다.
