최근 콜센터를 통해 영국의 신용카드 정보가 유출된 사건이 알려져 충격을 주고 있는 가운데, 대표적인 컴퓨터 보안 업체 시만텍의 고객 중에도 이번 사건의 피해자가 있는 것으로 확인됐다. 이번 사건은 영국 BBC 기자들이 인도 델리에 위장 잠입해 어떤 남자로부터 시만텍의 고객 3명의 이름과 주소, 신용카드 정보를 구매하면서 밝혀졌다.

영국 BBC는 지난 19일(현지 시간), 콜센터에서 탈취한 신용카드 정보를 팔겠다는 브로커를 두 명의 위장한 리포터들이 인도 델리에서 만나 거래현장을 비밀리에 촬영하는데 성공했다고 보도했다.

BBC 기자들이 만난 이 브로커는 매주 100명의 영국 고객들의 신용카드 정보를 제공할 수 있다며 원한다면 그 자리에서 즉시 샘플을 보여줄 수도 있다고 말했다. 또한 기자가 신용카드 정보들이 최신 정보인지 묻자 브로커는 핸드폰 판매 등을 처리하는 콜센터에서 빼내온 것이라며 ‘신선한(fresh)’ 정보임을 자신했다.

위장한 기자들은 우선 50개의 카드 정보를 구매하겠다고 했고, 이에 브로커는 우선 신용카드 14개의 정보가 있는 리스트를 넘긴 후 나머지는 차후에 이메일로 발송하겠다고 약속했다. 이후 영국으로 돌아온 리포터들은 이메일로 받은 카드 정보까지 포함해 조사한 결과 리스트에 있는 거의 모든 카드 사용자 이름, 주소 등이 모두 확실한 것임을 확인했다. 그나마 신용카드 번호의 경우 상당수가 숫자 하나씩 틀린 것으로 나타났으나, 7개 중 한 개 꼴로 유효한 신용카드 번호일 뿐만 아니라 여전히 영국에서 사용 중인 카드로 확인돼 충격을 주었다.

BBC는 해당 카드 소유자들에게 연락해 그들의 카드 정보가 인도에서 판매되고 있음을 알렸고, 이 과정에서 세 명의 피해자들이 콜센터에 자신들의 신용카드 정보를 제시하여 컴퓨터 소프트웨어 패키지를 구입했다는 것이 파악됐다.

이들이 구입한 컴퓨터 소프트웨어는 모두 시만텍(Symantec Co.)의 계열사인 노턴(Norton)의 제품으로, 이것이 이번 콜센터 신용카드 침해 사건에 시만텍의 이름이 등장하게 된 과정이다.

시만텍은 이번 사건을 알게 된 직후 자체 조사에 나섰으며 성명을 통해 “우리는 이번 사건이 어떻게 발생했는지 조사 중이며 이를 개선하기 위한 모든 적절한 조치를 취할 것”이라고 밝혔다. 또한 “이러한 제 3자 콜센터를 관리하는데 가능한 모든 방법을 검토하고 있으며 콜센터 중단도 염두에 두고 있다”고 덧붙였다.

영국 법무부는 현재 이들 세 명의 시만텍 고객들을 포함해 피해자들의 신용카드 정보가 어떻게 신원 도용 범죄자들의 손에 들어갔는지 조사 중이다. 법무부의 수사가 인도 콜센터인 e4e 직원들에 초점을 맞추고 있는 가운데 시만텍의 대변인은 자체 조사가 최종적인 결론에는 도달하지 못했다고 밝혔다. 또한 시만텍은 모든 정보를 당국에 넘겼으며 e4e와의 관계를 종료할 예정이라고 밝혔다.

그러나 이에 대해 시만텍 대변인은 지난 25일(현지 시간) “과거에는 e4e와 어떠한 문제도 없었다”면서 “이번 사건은 (콜센터 전체적의 문제라기보다는) 독립적인 사건이라고 생각한다. 우리는 이미 다른 벤더로 역할을 이전하는 것에 대해 검토하고 있던 중이었으나 이는 이번 사건과는 관련이 없는 것으로 사건 이전에 이미 일을 진행 중이었다”고 설명했다.

그는 또한 “영국 고객들은 여전히 전화로 소프트웨어를 구매할 수 있지만 대체 지역의 다른 (콜센터) 번호를 이용하게 될 것”이라면서도 “이것은 모두 예방조치다”라고 강조했다.

한편 e4e는 언론에 보도된 모든 정보 탈취에 대해 부정했다. 그러나 시만텍에 따르면 용의자로 추정되는 e4e 직원은 경찰 조사가 끝날 때까지 업무에 복귀하지 않게 된다.

[김동빈 기자(foregin@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>