“미국은 IC칩도 보안에 취약할 수 있어 지문인식기능 더하는데...”

[보안뉴스 김경애] 신용카드 결제와 관련해서 신분증 제시 방침과 함께  마그네틱(Magnetic) 문제까지 다시 제기되면서 논란이 가열되고 있다.

신용카드사가 결제 시 신분증 제시 요구

먼저 오는 12월말부터 국내 가맹점에서 신용카드로 50만원 이상 결제시 본인 확인을 위해 신분증을 제시해야 한다.

이와 관련 여신금융협회와 카드사는 50만원 이상 신용카드 거래 시 신분증 요구는 가맹점 표준약관에 규정돼 있다며 개정 내용을 고객에게 알리고 있다고 밝혔다. 이는 카드 부정사용을 막기 위해 신분증을 제시하도록 한 조항 신설에 따른 것으로, 체크카드는 해당되지 않는다.

이러한 표준약관은 일정한 거래분야에서 사업자들이 최소한 지켜야 하는 표준 거래 규범을 명시한 문서로, 계약 위반에 대한 책임사항 등을 명시해 향후 발생할 수 있는 분쟁을 방지하도록 하기 위해서다. 또한 표준약관은 소비자가 피해를 입었을 시 보상의 근거가 되며, 민사 소송을 제기할 때에도 중요한 근거자료가 될 수 있다.

이는 소비자 입장에서 볼 때 신분증을 제시하지 않았다고 해서 일일이 확인하거나 제재할 수는 없지만 부정사용으로 인해 문제가 발생할 경우 신분증 확인 여부에 따라 책임 부분이 달라질 수 있다는 얘기다.

하지만 이용자 입장에서는 신분증 제시가 그리 달갑지 않은 게 현실이다. 부정사용을 차단하는 명목으로 이용자에게 신분증을 요구하는 게 맞지 않다는 것.

이와 관련 김모 씨는 “안 그래도 개인정보 유출사고에 금융업계의 과다 개인정보 수집으로 불신이 큰데 본인확인을 위해 신분증 제시를 요구하는 건 이용자의 불편과 신뢰만 떨어뜨린 격으로 이해가 안 된다”고 말했다.

또 다른 카드결제 이용자는 “금융권에서 스스로 보안을 철저히 하고 관리해야 하는데, 이번 신분증 제시 방침은 보다 다양한 본인확인 방법이 있음에도 불구하고 구시대적 발상을 적용하는 꼴로 효율성을 떨어뜨린다”고 지적했다.

신용카드 IC칩과 마그네틱 병행, 국내만 유일

여기에다 국내 신용카드만 유일하게 마그네틱과 IC칩을 동시에 사용하고 있어 논란이 가열되고 있는 상황이다.

기존 마그네틱 카드는 여러 보안 취약점으로 그간 문제가 지속적으로 제기돼 왔다. 올해 초 발생한 포스(POS) 단말기 사건도 마그네틱의 취약점을 이용한 사건이었기 때문이다. 이와 관련 경찰청 사이버안전국 임희 수사관은 “포스 시스템 해킹사례의 경우 마그네틱의 취약점을 이용한 사건”이라며 “마그네틱에는 카드번호, 유효기간, 비밀번호 검증값, CVC 등 중요한 정보가 많이 들어있다”고 사이버 정보공유 세미나에서 밝힌 바 있다. 이러한 마그네틱 정보는 복제가 쉽게 가능해 정보유출에 매우 취약하다.

이미 국내에서도 보안을 고려해 IC칩이 카드마다 들어가 있다. 하지만 IC칩은 일부 은행 ATM기에서만 사용될 뿐 마트, 상점 등에서 결제할 때는 여전히 마그네틱이 정보를 읽어들이는 포스단말기가 이용되고 있어 IC칩은 아직 무용지물이다.

게다가 외국은 IC칩도 보안에 취약할 수 있어 바이오인식까지 더하는 추세다. 이와 관련 한 보안전문가는 “미국은 IC칩도 보안에 취약할 수 있어 지문인식 기능까지 더해 본인 아니면 카드 사용을 할 수 없도록 보안을 강화하는 방향으로 가고 있는 반면, 우린 아직까지 문제 많은 마그네틱 방식을 병행하는 유일한 국가”라고 지적했다.  

이러한 가운데 포스 시스템의 결제 단말기를 IC칩이 사용 가능한 기기로 교체하는 비용을 지원하는 문제와 사업자 선정을 두고 공방만 계속되고 있는 상황이다. 그 사이 포스 단말기의 취약한 보안으로 인한 피해는 이용자가 고스란히 안고 있는 셈이다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>