포스단말기 해킹· 앱카드 신종 스미싱 등 금융사고 잇따라다른 업권보다 업무 통제력 취약해 사고 발생 개연성 커고객신뢰 회복…외부의존적 업무에 대한 대책이 관건


  • 올들어 연일 터지는 대형 사건사고로 카드업계는 '만신창이'다.

    사상 최악의 정보유출 사태로 홍역을 치르고 있는 카드사들이 이번에는 신종 스미싱 사기 사건에 휘말렸다. 이에 카드사의 정보보안, 앱카드 시스템 문제 등이 도마에 올랐다.

    13일 금융권에 따르면 최근 카드사의 개인정보 유출 사태로 한차례 물의를 빚은 이후 수개월 간 포스단말기 해킹, 앱카드 신종 스미싱 등 다양한 금융사고들이 쏟아져 나오고 있다.

    ◆ 고개숙인 카드사...KB국민·롯데·NH농협카드 1억건 유출

    신용평가업체인 코리아크레딧뷰로(KCB) 직원 박모(39)씨가 NH농협, KB국민, 롯데카드 고객 정보를 불법 유통해 일어난 이번 사고는 무려 1억명의 정보가 흘러나가 세간을 떠들썩하게 했다.

    당시 해당 카드사와 금융당국은 "카드 비밀번호와 CVC등 신용카드 결제에 필요한 핵심정보는 유출되지 않아 2차 피해와 유출은 절대 없다"고 호언장담했지만 대부업체로 일부 정보가 세어나간 것으로 알려지면서 또 한 번 곤혹을 치렀다.

    이 사건의 책임을 물어 해당 카드3사는  지난 1월14일부터 3개월 영업정지 처분을 받았다. 또 해당 카드3사 대표와 임직원이 일괄 사퇴하기도 했다,

    금융당국은  '금융회사 고객정보 유출 재발방지 대책'을 발표하고 개인정보 유출 과태료를 600만원에서 최대 50억원으로, 유출 당사자는 최고 10년 이하 징역 또는 5억원 이하 벌금을 물리기로 했다.

    이 외에도 금융당국은 사상 최악의 정보유출 사태에 대한 국민 불안감을 해소하고자 대책을 서둘러 내놓다가 국민들을 분노하케 만들었다. 

    당초 금융당국은 카드사들의 고객정보 유출 사태에 대한 후속대책으로 금융사 전화영업(TM) 중단 조치를 취했다가 텔레마케터들의 고용불안과 생계 유지에 대한 우려가 커지자 한 달도 안돼 TM을 전면 허용했다.

    ◆ 식당 단말기도 털렸다…신한·국민·농협카드 6만건 유출

    이런 상황에서 지난달 11일 설상가상으로 포스단말기 관리업체 서버를 해킹해 320만건의 카드 거래 정보를 빼낸 일당이 적발됐다. 이 중 유출된 개인정보는 총 20만5000건으로 조사됐다.

    신한카드가 3만5000건으로 고객정보가 유출된 10개 은행 겸영 및 전업 카드사 중 최다였고 국민카드 3만3000건, 농협카드 3만건에 이르렀다.

    경찰이 지난해 12월 포스단말기 관리업체 서버를 해킹해 320만건의 카드 거래 정보를 빼낸 일당을 적발한 것과 관련해 정보 유출 내역을 조사한 결과 이 같은 사실이 밝혀졌다.

    포스단말기 보안규정은 있지만 법적 구속력이 없고,  관리 감독할 주체도 없어 보안 사각지대에 놓여있는 실정이어서 사실상 포스단말기를 통한 정보유출은 이미 예견된 일이었다.

    이에 따라 금융당국, 여신금융협회, 밴사, 카드사는 포스단말기 보안 규격, 등록 관리 등의 문제를 해결하기 위해 포스단말기 보안규정을 법제화하는 작업을 진행 중이다.

    하지만 단말기 교체 또는 업그레이드 등을 하는 과정에서 드는 비용이 상당하기 때문에 서로 책임을 떠넘기고 있다.

    ◆ 사고 없던 삼성카드 악재…온라인 결제 먹통, 앱카드 해킹

    며칠 지나지 않아 정보유출 사고가 없었던 삼성카드에서 또 금융 사고가 발생했다.

    지난 20일 삼성SDS 과천 데이터 센터 화재로 인해 삼성SDS 과천 데이터 센터 화재로 인해 인터넷 망을 이용한 카드결제와 삼성카드 홈페이지, 모바일 결제 서비스 등이 제한됐다.

    먹통이 된 온라인 카드 결제 시스템은 3일 후인 23일 정상화 됐으나, 모바일 결제 시스템은 닷새째 복구되지 않았다.

    삼성카드 모바일 결제 시스템 복구가 지연된 이유는 전자금융거래감독규정(제 23조)에 명시된 '재해복구시스템(DRS·Disaster Recovery System)이 마련되지 않았기 때문이다.

    전자금융거래감독규정(제 23조)에 따르면 시스템 오류, 자연재해 등으로 인한 전산센터 마비에 대비해 '재해복구시스템'을 갖춘 별도의 센터를 마련해야 한다. 또한 업무지속성을 확보할 수 있도록 적정 규모·인력을 구비한 재해복구센터를 주전산센터와 일정거리 이상 떨어진 안전한 장소에 구축해 복구는 3시간 이내로 해야 한다.

    삼성카드는 지난해 10월 전임 최치훈 사장 재직 당시, 전체 거래 중 전자상거래 비중이 10%에 달하는데 이와 관련된 데이터 백업이 이뤄지지 않고 있다는 금융감독원의 지적을 받은 바 있다.

    이에 따라 삼성카드는 내년 2월 완공을 목표로 재해복구시스템 구축 작업 추진 중에 이 같은 사고가 발생한 것이다.

    결국 삼성카드의 모바일 홈페이지, 결제 등 이용이 제한됐던 모든 서비스는 사고발생 일주일이나 지나서야 정상화 됐다.

    엎친데 덮친격으로 삼성카드에서 앱카드 도입 이후 최초로 명의도용을 통한 부정 매출 사건이 발생했다.

    지난 4월 스미싱 일당은 삼성카드 고객 대상으로 스미싱 문자를 발송하고 이를 클릭한 53명의 정보를 빼내 삼성카드 앱카드를 발급받은 후 환금성 사이트(게임머니, 모바일 상품권, 캐시충전 등)에서 6000여만원 상당의 부정매출을 발생시켰다.

    삼성카드는 FDS(카드부정사용방지시스템)을 통해 특정 인터넷 게임사이트 등에서 짧은시간에 여러건의 승인이 이뤄진 점을 발견, 우선 부정사용 사고임을 고객에게 알리고 사용제한 조치를 취했으며, 경찰과 금융당국에 자진 신고했다.

    업계에서는 삼성카드의 부정사용방지시스템(FDS)이 미흡했다는 지적도 나오고 있다.

    타 카드사의 경우 결제승인 전 FDS를 구동하는 반면, 삼성카드는 승인 후 FDS를 구동해 사전에 부정결제를 막지 못했다는 것이다.

    올해 이처럼 카드사에서 유독 많은 사고가 잇따라 터지면서 고객 신뢰는 바닥까지 내려갔다.

    금융소비자원 조남희 대표는 "카드사들의 영업행위 자체가 외부의존적으로 이뤄지다 보니 상대적으로 다른 업권에 비해 업무 통제력이 취약해 지금도 사고가 일어날 개연성이 크다"며 "잃어버린 고객들의 신뢰를 회복하기 위해선 외부조직에 의존하고 있는 업무에 대해 내부적으로 대책을 세워놨는지가 관건으로 보인다"라고 말했다.