카드 한장 재발급에 1만원..카드사들 잇단 해킹사고에 '비용 속앓이'

서상혁 입력 2020. 12. 11. 08:43
음성재생 설정
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

부정사용 없지만 고객 원하면 교체해줘야..안내 문자메시지 비용도 부담
[그래픽=아이뉴스24DB]

[아이뉴스24 서상혁 기자] 카드정보 해킹사고가 지속적으로 발생하면서 카드사들이 속앓이를 하고 있다. 부정사용과 관계없이 유출된 카드 번호에 대해선 고객에게 재발급을 해줘야 해서다. 수익성 보전을 위해 비용 감축에 나서고 있는 업계에겐 악재로 작용하는 모습이다.

11일 금융권에 따르면 금융당국과 유관기관, 카드사들이 카드정보 다크웹 유출 사건을 조사한 결과, 미상의 해커들이 유출한 정보 10만건 중 유효한 카드 정보는 3만6천건으로 확인됐다.

지난 11월 22일 미상의 해커는 이랜드 그룹의 사내 시스템을 대상으로 랜섬웨어 공격 후 4천만달러(약 445억원)을 요구했다. 협상이 결렬되자 지난 3일 1차로 다크웹에 약 10만개의 카드정보를 공개했다.

10만개의 카드정보 중 6만4천건은 기간이 만료됐거나, 실존하지 않는 정보다. 나머지 3만6천건 중 2만3천건은 과거에 불법 유출된 정보로 이미 부정사용감지시스템(FDS) 등록 등 조치가 완료된 정보로 파악됐다. 이번 사건으로 새롭게 유출된 정보는 사실상 1만3천건이다.

유효 정보들엔 카드번호와 유효기간 등이 포함돼 있긴 하나, 온라인 결제를 위한 CVC정보(카드 뒷면 7자리 중 3자리 숫자), 비밀번호 등은 공개되지 않았다. 따라서 해당 정보만으로는 오프라인 가맹점 등에서 사용하긴 어렵다. 실제 금융당국과 유관기관이 FDS 등을 분석한 결과, 카드 발급일로부터 전날까지 해당 유효카드에서 발생한 거래는 없는 것으로 확인됐다.

만약 부정사용 사례가 발생한다면, 여신전문금융업법에 따라 카드사가 소비자의 피해를 전액 보상하게 된다.

카드사로선 이 같은 랜섬웨어 공격이 절대 달갑지 않다. 부정 사용이 발생하지 않았더라도 관련 규정에 따라 카드사들은 고객에게 유출된 사실을 문자나 이메일, 전화 중 최소 2가지 이상 방법으로 고객에게 안내해야 할 의무가 있다. 고객이 원할 경우 카드를 재발급도 해줘야 한다. 대다수의 고객들은 이 같은 일이 발생할 경우 재발급을 요청하는 만큼, 카드사로선 비용인 셈이다.

업계에 따르면 평균적인 카드 재발급 비용은 건당 1만원 정도다. 카드 플레이트와 배송비를 합한 금액이다. 여기에 더해 부가적으로 안내해야 하는 문자 메시지(LMS) 비용은 건당 30원이다.

일반적으로 해킹 등으로 유출된 정보 유출 건수의 단위는 '만' 단위로 시작한다. 지난 6월 국내 금융회사들은 금융보안원 등을 통해 카드 정보가 해외 인터넷 암시장에서 유통되고 있다는 사실을 확인했는데, 전체 90만건 중 약 41만건이 유효한 카드 정보였다.

지난 7월엔 경찰이 여신전문금융업법 위반 혐의자를 조사하는 과정에서 다량의 카드정보 도난 사실이 밝혀졌는데, 그중 유효한 카드정보가 61만7천건에 달했다. 이번 랜섬웨어 공격으로 유출된 카드 정보량은 앞선 사례와 비교하면 비교적 작은 규모에 속한다.

그렇잖아도 지난해부터 카드업계는 가맹점 수수료 인하 등의 이슈로 나빠진 수익성을 메우기 위해 허리띠를 졸라매고 있다. 금융감독원의 '상반기 신용카드사 영업실적'에 따르면 카드사들은 올 상반기 주된 수익원인 가맹점 수수료 수익이 945억원 가량 줄었다.

업계 관계자는 "카드사 보안이 뚫려서 정보가 유출되는 일은 거의 없지만, 어찌됐든 정보가 유출되면 그 사실만으로 카드사들은 고객에게 사실을 고지하고, 필요 시 카드를 재발급 해줘야한다"라며 "더 큰 문제는 불안감인데, 재발급을 받지 않고 막연한 불안감으로 탈회를 하는 고객도 종종 있다"라고 말했다.

또 다른 관계자는 "재발급 등의 조치를 하지 않았다가 부정사용이라도 발생하면, 카드사는 더 큰 보상을 해야만 한다"라며 "소비자 보호가 우선인 만큼, 큰 비용이라고 인식하진 않는다"라고 밝혔다.

업계는 앞으로 3년 동안은 이 같은 비용 지출이 불가피할 것으로 보고 있다. 최근 다크웹 등에 유출된 카드정보는 대부분이 2018년 IC단말기 도입 이전 악성코드에 감염된 POS기를 통해 해킹된 것으로 추정되는 정보들이다. IC단말기 교체가 2018년 12월에 끝난 점, 카드 유효기간이 5년이라는 점을 감안한 하면 이론적으로 2023년까지는 이러한 정보 유출 사고에 따른 비용이 발생할 수 있는 것이다.

금융권 관계자는 "2018년에 결제된 카드의 유효기간이 끝날 때까지는 이 같은 사례가 나올 수 있지만, 딱히 방법이 있는 건 아니다"라며 "추가적인 피해를 막기 위해선 비용이 들어도 어쩔 수 없는 일이다"라고 말했다.

서상혁기자 hyuk@inews24.com

▶네이버 채널에서 '아이뉴스24'를 구독해주세요.

▶재밌는 아이뉴스TV 영상보기▶아이뉴스24 바로가기

[ⓒ 아이뉴스24 무단전재 및 재배포 금지]

Copyright © 아이뉴스24. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?