본인인증절차 보완권고 무시, 결국 불법결제 사고 발생 

 

 

지난 2월 발생한 한국씨티은행 신용카드 불법결제 사고는 한국씨티은행이 허술한 결제체계를 갖고 있었기 때문인 것으로 밝혀졌다. 또한 한국씨티은행은 금융감독원으로부터 본인인증절차를 보완하라는 권고를 받고도 이를 무시했던 것으로 드러났다.

경찰청 사이버테러대응센터는 13일 불법결제사건 피의자 박모 씨(34세·무직·경북 김천)를 구속하고 “지난해 7월 안심클릭 취약점을 악용한 범인을 검거한 후, 금융당국과의 회의를 개최하고 보완책을 시중 은행에 권고했지만 이를 무시하거나 미흡하게 반영한 씨티카드사가 집중적인 피해를 입었다”고 밝혔다.

경찰에 따르면 지난해 안심클릭 서비스의 취약점이 발견돼 CSV(카드구별번호) 등을 추가입력하도록 하는 등 본인인증을 강화하는 내용의 권고를 했으나 씨티카드는 이를 따르지 않았다.

이날 구속된 박 씨는 지난해 9월부터 지난 2월까지 약 6개월 동안 6개 신용카드사의 111개 카드정보를 도용해 1억여원의 부당이득을 챙긴 혐의를 받고 있으며, 박 씨가 챙긴 금액 중 대부분이 씨티카드를 이용한 것이었다.

박 씨는 인터넷에 떠도는 신용카드 번호를 입수, 분석해 신용카드 번호가 일정한 규칙에 의하여 부여되고 있다는 사실을 알아낸 후 현재 유효하게 사용되고 있는 신용카드 번호를 찾아내 인터넷 게임사이트에서 ‘안심클릭’으로 아이템을 구매해 이를 팔아 현금으로 사용했다.

센터는 “씨티은행 뿐 아니라 ‘안심클릭’을 사용하는 대부분의 카드사 시스템에 허점이 있다”며 “전자금융거래법에 금융기관과 신용카드사의 금융거래 접속기록을 보관·유지하도록 하는 의무조항이 있음에도 불고하고 대부분의 카드사는 기록을 보관하지 않고 있는 것으로 확인됐다”고 지적했다.

실제로 인터넷에는 신용카드번호를 자동으로 생성시키는 프로그램까지 유포되어 있는 상황이므로, 앞으로 얼마든지 유사범죄로 이용될 수 있다.

 

경찰은 “지난 11일 재정경제부, 금융감독원 등 관계부처가 참석하는 회의를 열고, 제도적·기술적 보안조치 할 것을 당부했다”며 “날로 고도화·지능화 되는 금융분야의 범죄에 적극 대처해 나갈 계획”이라고 밝혔다.

[김선애 기자(boan1@boannews.co.kr)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>