카드정보 유출, IT보안도 '구멍 많다'

[이데일리 김현아 이유미 기자] 신용카드사 개인정보 유출 사건이 일파만파로 확산하고 있는 가운데 정보기술(IT) 강국이라는 한국의 위상과 달리 IT보안 분야가 크게 취약한 것으로 드러나고 있다. 2,3차 피해는 없을 것이라고 밝힌 금융당국과 달리 전문가들은 유출된 정보 만으로 무단으로 결제하거나, 심지어 송금까지 할 수 있다고 지적하고 있다.

KB국민카드와 롯데카드, 농협카드에서 유출된 1억 400만 건의 고객정보에는 신용카드 비밀번호나 CVC정보(신용카드 뒷면 마지막 3개 숫자)는 없다. 하지만 신용카드 정보나 유효기간 등 유출된 정보만으로도 무단 결제하거나 해킹툴이 심어진 사기문자를 보낼 수 있다고 전문가들은 경고하고 나섰다..

특히 정부가 올해부터 해외에 서버를 둔 결제대행(PG) 서비스를 이용해 해외 쇼핑몰에서 결제할 수 있게끔 규제를 완화한 뒤 유출된 개인정보를 이용해 무단 결제할 수 있는 위험이 더 커졌다. 세계 최대의 온라인 쇼핑몰 아마존에서 물건을 살 때는 신용카드 비밀번호나 CVC정보가 필요하지 않은 탓이다.

11번가를 운영하는 SK플래닛 관계자는 “아마존에서 결제할 때는 등록된 ‘카드 번호’와 ‘카드를 만든 주소’를 매칭해 확인한 뒤, 이를 기반으로 아이디와 패스워드를 만들어 원클릭으로 결제하면 된다”고 말했다. 국내 쇼핑몰은 비자안심결제나 공인인증서를 쓰기 때문에 해외 것보다는 안전하다는 평가다.

피자 배달 등 외식 업계 관행도 문제다. 간혹 CVC 정보를 묻는 곳도 있지만, 전화로 카드번호와 유효기간만 불러주면 자동으로 결제한 뒤 배달 되는 곳이 많다.

문자메시지를 이용한 해킹 공격인 ‘스미싱’은 더 심각하다. 해커가 유출된 개인 전화번호를 이용해 휴대폰 메시지를 보내면서 악성코드를 심을 수 있다. 무심코 해당 문자 끝에 있는 아이피주소(IP Address)를 클릭하면 내 휴대폰에 저장된 공인인증서가 해커 손에 들어가거나, 소액결제를 당할 수 있다. 해커가 이번 유출로 신용카드 결제계좌 정보까지 갖고 있다면, 공인인증서와 결제계좌를 이용해 무단 송금할 수 있다는 얘기다.

전문가들은 발달된 IT 기술 덕분에 한국에서 개인정보 유출 사건의 파장이 더 크게 나타나고 있다며 개인정보 관련 법제도를 새로운 시각에서 정비해야 한다고 지적했다.

이경호 고려대 정보보호대학원 교수는 “개인정보는 한번 유출되면 확대 재생산되기 때문에 검찰이 회수해도 해킹 사고로 이어질 수 있다”면서 “신용정보보호법, 정보통신망법, 개인정보보호법으로 나눠진 업무를 통합한 개인정보보호 컨트롤 타워가 필요하다”고 말했다.

김경환 법무법인 민후 변호사는 “최근 판결을 보면 SK컴즈(066270)외에는 개인정보 유출 피해자가 승소한 사례가 없다”면서 “법원이 기업을 애지중지 하는 게 개인정보 유출 사태를 더 악화시키고 있다”고 비판했다.▶관련기사 4면

▶ 관련기사 ◀
☞ 구글 처벌, 솜방망이 예상..빅데이터 하려면 신뢰가 먼저
☞ '개인정보 유출' 재발방지책 내일 오후 2시 발표
☞ "정보보호法 2월 우선처리"‥정치권 뒤늦게 호들갑
☞ 개인정보 유출과 해킹, '협력사 단속' 주의보