[프라임경제] 지난달 29일 국내 두 곳 카드사의 홈페이지가 해킹되면서 50만원권 기프트카드(무기명 선불카드) 수백장의 정보가 유출됐다. 이에 금융당국과 카드사들이 후속 조치에 나섰다.

19일 업계와 금융감독원(금감원)에 따르면 중국 해킹조직은 지난해 12월부터 지난달 중순까지 A와 B카드사의 홈페이지를 해킹, 고객에게 발급된 기프트카드 번호, 유효기간, CVC번호 등을 알아냈다. 피해 금액은 3억원으로 추정된다.

해킹조직은 카드번호 중 일부만 바꾸면 유효기간이 같은 새 카드번호가 생성된다는 점을 파악, 카드번호와 유효기간을 확인했다. 또 임의로 숫자를 무한 반복 입력해 CVC 번호를 추가 탈취했다.

은행 창구에서 살 수 있는 기프트카드는 카드사 홈페이지에서 누구나 잔액을 확인할 수 있고, 카드번호와 유효기간, CVC 번호만 안다면 온라인상에서 실물 없이 결제할 수 있다는 점을 악용한 것이다. 해킹조직은 이렇게 알아낸 기프트카드 정보로 모바일 상품권을 구입하고 되팔아 현금화한 것으로 알려졌다.

여신금융협회 관계자는 "기프트카드는 고객정보가 없는 무기명 카드가 대부분으로 이번 사고로 인해 유출될 수 있는 개인정보는 전혀 없다"며 "사고에 의한 고객 피해는 법령에 따라 카드사가 전액 보상할 예정"이라고 말했다.

현재 해당 카드사들은 홈페이지상 조회오류 횟수 제한 및 본인인증절차를 강화하고 경찰청에 수사를 의뢰한 상태다. 아울러 실물카드 복제 방지를 위해 기프트카드 CVC번호와 마그네틱선 일부를 보안스티커로 가리는 대책도 마련 중이다.

금감원 역시 카드사·은행에 무한 반복적인 입력 시도를 통한 카드정보 탈취 사고사례를 지도공문으로 전파해 선불카드(기프트카드) 사용을 위한 등록·조회 시 카드정보 입력 오류가 일정 횟수 이상 발생하는 경우 카드 등록·조회를 차단하는 등 보안대책을 적용토록 조치했다.

이에 A카드사 관계자는 "지난해 12월 이상 기후를 느껴 휴대폰 인증 절차 강화 등을 추가했다"며 "현재까지 10여건의 신고가 들어와 500만원 정도 보상했을 뿐더러 앞으로도 피해가 있을 시 보상할 예정"이라고 해명했다.

B카드사 관계자 역시 "총 12건의 피해가 발생했으며 994만원을 보상했다"며 "지난달에 부정거래 방지 시스템 등을 통해 조치하고 금감원 수사 의뢰도 했던 일"이라고 응대했다.