[단독] 카드정보 412억건 규모.. 휴대전화 간편결제 서비스 악용 무방비

김승훈 입력 2020. 6. 14. 19:06 수정 2020. 6. 15. 05:06
자동요약 기사 제목과 주요 문장을 기반으로 자동요약한 결과입니다.
전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.

현금자동입출금기(ATM)와 카드가맹점 포스단말기, 멤버십가맹점 등 불특정 다수의 전산기기가 해킹돼 사상 최대의 금융·개인 정보가 유출되는 사건이 발생했다.

김득의 금융정의연대 상임대표는 "2014년 카드 3사의 1억건 정보 유출보다 규모가 크다면 검찰까지 포함해 범정부 차원의 TF를 구성해 서둘러 수사하고 소비자 피해 예방 조치를 해야 한다"며 "정보 유출에 따른 피해와 관련해선 징벌적 손해배상이나 집단소송 등을 통해 소비자 피해 보상이 제대로 이뤄져야 한다"고 지적했다.

음성재생 설정
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

금융·개인 정보 역대 최대 규모 유출

[서울신문]포스단말기·ATM에 악성코드 심어
이용 때마다 카드 비번·개인정보 빼내
멤버십가맹점 서버도 뚫려 정보 숭숭
금감원 아직 해킹 진원지조차 파악 못해
공범 검거 안돼 게임사이트 등 결제 우려
범정부 TF 꾸려 소비자 피해 예방 나서야

현금자동입출금기(ATM)와 카드가맹점 포스단말기, 멤버십가맹점 등 불특정 다수의 전산기기가 해킹돼 사상 최대의 금융·개인 정보가 유출되는 사건이 발생했다. 특정업체 한 곳이 아니라 카드사·금융사·기업 등 경제 근간을 이루는 곳들이 두루 연계돼 있어 범정부 차원의 태스크포스(TF)를 꾸려 유출 실태를 파악하고, 서둘러 소비자 피해 예방 조치에 나서야 한다는 지적이 나온다.

이번 유출 사건은 시중은행 해킹 혐의로 지난해 6월 구속된 이모(42)씨의 추가 범행과 공범 수사 과정에서 1.5테라바이트(TB) 분량의 외장하드를 확보하면서 불거졌다. 은행 보안 관련 일을 하는 이씨는 2012년 커피숍·중소형 슈퍼·생활잡화점·음식점 등 국내 카드가맹점 수백 곳의 포스단말기에 카드 정보를 빼내는 악성코드를 심었다. 악성코드는 이메일로 유포돼 가맹점 사업주나 종업원들이 포스단말기에서 메일을 확인하는 순간 자동으로 깔렸다. 고객이 카드를 사용할 때마다 이씨가 설정해 놓은 메일로 카드 트랙 정보가 실시간으로 빠져나갔다. 이씨는 2014년 4월 경찰에 적발돼 복역하고 2016년 초 출소했지만 당시 악성코드를 심어놓은 포스단말기에선 지금도 정보가 빠져나가고 있다. 1.5TB 내 카드 정보도 그때 심어놓은 악성코드를 통해 유출된 정보들이다. 복수의 금융권 관계자는 “금융감독원은 아직도 포스단말기 해킹 진원지조차 파악하지 못하고 있다”고 지적했다.

유출 카드 정보는 카드 트랙 정보를 뜻한다. 카드 트랙엔 카드 번호, 유효 기간, 비밀번호 암호화값 등이 담겨 있다. 이 정보만 있으면 복제카드를 만들 수 있다. 카드 한 장에 들어가는 트랙 정보는 40줄로, 40바이트(Byte) 용량이다. 1.5TB는 1조 6492억 6744만 5000바이트로, 카드 정보 기준으로 412억 3168만 6125건이 들어간다. 최근 싱가포르 사설 보안업체에서 다크웹을 통해 불법 거래되는 국내 카드 정보를 파악해 우리 금융당국에 통보한 90만건은 35킬로바이트(KB) 수준으로, 비교 자체가 되지 않는다.

출소한 이씨는 은행 ATM에도 악성코드를 깔았다. 고객이 ATM을 이용할 때마다 실시간으로 카드 비밀번호, 은행계좌번호, 주민등록번호, 이름 등이 유출됐다. 1.5TB 분석 결과가 나오면 국내 어느 금융사의 ATM이 해킹됐는지, 계좌 유출과 피해 규모가 얼마나 되는지 파악할 수 있다.

멤버십가맹점 서버도 뚫렸다. 1.5TB 안엔 멤버십 회원번호와 주소, 휴대전화번호 등도 담겨 있다. 경찰은 서버 자체가 해킹된 것으로 보고 유출 경위를 확인하고 있다. 문제는 공범이 아직 검거되지 않았다는 점이다. 이씨와 해킹을 함께한 범인들이 1.5TB 분량의 금융·개인 정보를 갖고 있다면 휴대전화 간편결제 서비스와 도난 카드정보가 흔히 사용되는 게임사이트 등에서 악용할 수 있다.

김득의 금융정의연대 상임대표는 “2014년 카드 3사의 1억건 정보 유출보다 규모가 크다면 검찰까지 포함해 범정부 차원의 TF를 구성해 서둘러 수사하고 소비자 피해 예방 조치를 해야 한다”며 “정보 유출에 따른 피해와 관련해선 징벌적 손해배상이나 집단소송 등을 통해 소비자 피해 보상이 제대로 이뤄져야 한다”고 지적했다.

김승훈 기자 hunnam@seoul.co.kr

윤연정 기자 yj2gaze@seoul.co.kr

▶ 밀리터리 인사이드 - 저작권자 ⓒ 서울신문사 -

Copyright © 서울신문. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?