기프트카드, 해커 공격에 무방비…카드업계 비상

무기명 이점 사기에 악용

2017-02-19 이경민 기자

[매일일보 이경민 기자] 기프트카드가 해커들의 공격에 무방비로 노출돼 있었던 것으로 나타나 카드업계에 비상이 걸렸다. 경찰은 중국에서 활동하는 해커로부터 50만원권 기프트카드 총 3억5000만원 상당의 정보를 2억9000만원에 사들여 사용한 혐의로 이모(22)씨를 구속하고 나머지 일당 8명을 불구속 입건했다. 기프트카드는 50만원 한도로만 발행되는 무기명 선불카드로, 일반 신용카드와 형태가 거의 같은 데다가 대부분의 카드 가맹점에서 편리하게 사용할 수 있다. 제3자에게 아무런 제약 없이 양도할 수도 있기 때문에 선물용으로 인기를 끌고 있다. 하지만 카드정보만 알면 무기명으로 사용할 수 있는 특징 탓에 사기에 악용되거나 보안 사고에 노출되면서 신뢰성이 위협받고 있다. 기프트카드 관련 사기 사건은 이전에도 종종 있었다. 카드번호와 유효기간, 카드보안코드(CVC) 번호를 메모해 둔 뒤 다른 사람에게 판매하고서 미리 적어둔 정보로 온라인몰에서 상품이나 게임머니 등을 구매하는 식의 사기 사건이 종종 발생해왔다.카드정보만 있으면 실물이 없어도 온라인에서 사용할 수 있는 점을 악용한 사기 수법이었다. 기프트카드의 경우 전부 IC카드가 아닌 마그네틱카드여서 복제 위험성이 높은 실정이다. 카드업계 관계자는 “기프트카드를 IC카드 형태로 전환해야 한다는 지적이 계속해서 나오지만 별다른 진척은 없는 상황”며 “온라인 사용이 많은 선불카드의 특성상 이 같은 조치가 효율적인지에 대한 의문도 있다”고 설명했다. 이달 초에는 카드사 홈페이지의 취약점을 노린 해킹 사고까지 나면서 카드업계에서도 곤혹스러워하는 모습이다. 경찰에 붙잡힌 이씨 등은 중국에서 활약하는 해커로부터 50만원 짜리 기프트카드 정보를 사 이를 토대로 다른 기프트카드의 번호와 유효기간을 유추한 것으로 조사됐다. 나머지 CVC 번호는 카드사 홈페이지 잔액 조회 서비스에서 무작위로 세자릿수 번호를 입력해 일치하는 번호를 알아냈다.이번 해킹공격의 표적이 된 카드사 2곳은 비밀번호를 3∼5회 잘못 입력하면 입력이 제한되는 보안장치를 마련해 두지 않아 핵심정보가 무방비로 노출됐다. 000부터 999까지 숫자를 반복 입력하는 매우 초보적인 해킹 시도에 핵심 정보가 뚫린 셈이다. 이처럼 보안체계를 허술하게 운영했던 2개 업체는 현재 잔액 조회 시 휴대전화 인증 절차를 추가하고 3~5회 입력 오류 시 입력을 제한하는 보안조치를 뒤늦게 설정해놓은 상태다. 업계에서는 이 같은 정보도용 범죄가 거듭될 경우 카드산업 전체에 대한 불신이 깊어질 수 있다고 우려를 나타내고 있다. 한 카드사 관계자는 “2014년 정보유출 사건 이후 카드업체의 보안 시스템을 믿지 못하는 고객들이 많다”며 “업계에서도 대책을 강화하고는 있지만 갈수록 범행이 정교해지고 있어 곤혹스러운 상황”이라고 전했다.