씨티은행의 전자지불 시스템에서 고객 정보가 해킹돼 고객 20여명의 카드에서 5000만원이 무단 결제된 사실이 뒤늦게 드러났다.

한국 씨티은행이 발행한 신용카드 고객 20여명의 카드에서 지난 1일부터 6일까지 인터넷 상에서 5000만원이 결제된 사실이 15일 확인됐다.

씨티은행 측은 범인들이 전자지불시스템 운영회사를 해킹해 씨티은행 고객의 카드 정보와 비밀번호 등을 알아낸 후 인터넷에서 사이버머니를 충전하는 방식으로 신용카드를 도용한 것으로 보고 경찰청 사이버테러 대응센터에 수사를 의뢰했다.

씨티은행은 “은행시스템이 해킹된 것이 아니고, 결제대행서비스 업체(PG)의 하위가맹점(sub가맹점)이 해킹돼 발생된 사고로 추정되나, 수사가 진행중이므로 수사결과를 지켜보아야 할 것 같다”고 밝혔다.

씨티은행은 “고객 보호를 위해 피해 고객들에게 보상할 것이며, 신용카드부정사용예방시스템(Fraud Detection System)을 통해서 추후 동일한 사고 발생 방지를 위해 모니터링을 강화 및 대응조치를 하고 있다”고 강조했다.

한편, 이 사건에 대해 금융권 일각에서는 다른 신용카드 고객들의 피해는 없고 씨티은행 카드 고객에게만 피해가 발생했다는 점을 들어 한국 씨티은행이 전자상거래상 본인인증을 하는 억세스 콘트롤 서버(ACS)를 외부용역 줬을 가능성이 있다고 지적하고 있다.

현재 30여개에 이르는 PG 업체들이 대부분의 카드사와 계약을 맺고 전자상거래 업체이 결제정보를 암호화해 카드사에 전송해 주고 있으며, PG 업체가 해킹을 당했다면 씨티은행 신용카드 고객만 피해를 입었을 리 없다는 것이다.

또한, 해킹을 통해 개인정보를 알았다면, 20여명의 피해자 계좌에서 5000만원만 빼내가지는 않았을 것이라는 지적도 나온다.

이에 대해 씨티은행 측은 “ACS의 외부용역은 있을 수 없는 일”이라며 “30만원 미만의 거래에서는 공인인증서 없이 카드번호와 ID, 비밀번호 등 간단한 정보만 입력하면 된다는 점을 악용한 것 같다”고 밝혔다.

씨티은행 신용카드가 타깃이 된 것에 대해 금융감독 당국 관계자는 “전자지불 결제 과정에서 씨티은행은 신용카드 뒷면의 위·변조 방지번호(CVC 코드)를 입력하지 않기 때문”이라고 설명했다.

한편, 한국씨티은행은 올해 하반기 중으로 예정된 옛 한미은행과 씨티은행 서울지점의 신용카드 전산통합 과정에서 옛 한미은행 방식이 좀 더 보안이 강화된 것으로 인식하고, 이 방식을 도입하기로 했다.

[김선애 기자(boan1@boannews.co.kr)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>