카드사의 인터넷 홈페이지의 허점을 이용한 중국 해커들에 의해 기프트카드(무기명 선불카드)가 유출됐다. 그동안 카드사들은 기프트카드의 보안 허점을 알았지만 자사 홈페이지에서 잔액 조회시 횟수 제한 등 별다른 보안장치를 두지 않았던게 화근이었다.

결국 고객들의 불편 해소를 선택했던 카드사가 해킹 피해를 방치했다는 지적이 일고 있다.

19일 금융감독원 등에 따르면 중국 해커들은 지난해 12월과 올해 1월까지 대형카드사 A와 B 등 두곳의 홈페이지에서 기프트카드를 정보를 빼냈다.

이들은 무기명 기프트카드가 상품의 특성상 주로 선물로 이용, 소유자가 정해져있지 않아 누구나 카드회사 홈페이지에서 잔액을 확인할 수 있고 카드번호와 CVC값, 유효기간만 있으면 잔액 등을 확인할 수 있다는 점을 이용했다.

카드사 홈페이지에서 카드번호와 CVC, 유효기간을 임의로 입력하는 방식을 활용해 임의로 카드번호를 생성하는 프로그램으로 잔액이 조회되는 카드 정보를 빼낸 것으로 알려졌다.

금융감독원 관계자는 "카드사들이 고객편의 등을 위해 은행들처럼 비밀번호 5여차례 오류시 재발급 받도록 하듯이 오류 횟수 제한 등을 따로 두지 않았던 것이 문제가 된 것으로 지도공문을 통해 조치하도록 했다"고 밝혔다.

금융당국 등은 총 3억원의 피해액이 발생한 것으로 추정하고 있으며 실제 피해 확인 신고가 된 것은 15000만원 상당의 총 30여건이 발생했던 것으로 파악하고 있다. A카드사는 총 10여건, 500만원 가량이며 B카드사는 총 20여건, 990만원 가량된다.

이에 수차례 오류가 발생하는 등 이상징후를 발견한 카드사들은 금융당국과 수사기관에 의뢰했으며 이후 보안을 강화했다. 

A카드는 잔액 조회시 휴대폰인증을 추가했으며 CVC값 입력시 4회 이상 오류가 나면 더 이상 이용할 수 없도록 했다. B카드사 또한 오류 조회 건수를 5회로 제한했다. 이와 더불어 CVC값을 가리는 테이프를 붙여놓고 떼어내면 사용된 것을 확인할 수 있는 등의 보안테이프 도입도 논의 중인 것으로 전해졌다.

A카드사 관계자는 "기프트카드는 소비자가 변동될 소지가 있어 여러번 조회할 수 있다는 점을 고려해 그동안 오류가 나더라도 횟수 제한을 두지 않았지만 이후 보안을 강화했다"고 설명했다. 

또한 B카드사 고위 관계자는 "이상감지시스템에서 반복해서 오류난 것을 파악해 금융당국 등에 보고하고 피해가 확인된 분들한테 보상절차를 했다"며 "횟수제한, 보안강화 등을 조치한 이후에도 계속 모니터링을 해왔지만 아직 유사사례는 발견되지 않았다. 또한 업계에서 이같은 사건을 방지하기 위해 CVC를 가리는 보안테이프를 활용하는 방안도 검토중인 것으로 알고 있다"고 말했다.

그는 "기프트카드는 상품권 같은 특성이 있어 유통에 목적이 있으므로 조회에 허들을 두지 않았었다. 누군가 사서 선물을 줬더라도 남은 금액은 또 다른사람한테 선물하는 등의 경우가 많았기 때문"이라며 "보안을 위해 횟수제한 등을 둔 후 고객들로부터 불편하다는 문의가 좀 있었지만 어쩔 수없는 결정"이라고 덧붙였다. 

기프트카드는 무기명 선불카드라 대부분 구매한 사람이 선물로 전달하더라도 잔액이 남았을 경우 또 다른 사람에게 양도하는 등의 경우가 많았다. 따라서 C의 사람이 먼저 카드를 조회하다 오류가 나고 그것을 건네받은 D가 조회를 하다 다시 오류가 발생할 소지가 있다. 이같이 오류가 발생했을 경우 제한을 두게되면 영업점을 방문해 번호를 변경하는 등의 불편이 있어 그동안은 오류 횟수 제한 등 보안 장치를 따로 두지 않았던 것.

하지만 이번 사건을 계기로 결국 카드사들은 고객들의 편의보다는 보안을 택하게 됐다. 

앞서도 기프트카드는 실물이 없어도 카드정보만 있으면 온라인상에서 활용가능한 등의 허점을 이용해 기프트카드를 복제해 팔거나 카드정보를 미리 메모해둔 뒤 판매해 이용하는 등의 범죄에 노출되어왔었다.

한 카드사 관계자는 "사이버, 핀테크 이슈가 생기면서 끊임없이 환경이 변화하고 있다"며 "이에 따라 시스템 보안도 항상 경계하고 긴장을 늦추지 않으려고 하고 있지만 해킹도 날이 갈수록 진화하고 있어 힘든 것은 사실"이라고 토로했다.