30만원 미만의 안심클릭 소액결제는 온라인상에서 자동으로 이뤄지기 때문에 신용카드 정보를 빼낸 해커들이 마음대로 사용해도 막을 방법이 없다는 데 심각성이 있다. 실제로 3~4초 만에 수십건의 소액결제가 카드사에 신청돼 처리되고 있지만 불법사용 여부를 확인할 길은 없다. 이럴 경우 카드사가 피해를 보는 것은 당연하다. 하지만 신한·삼성·현대·롯데카드는 금전적 피해를 전혀 입지 않고 있는 것으로 확인됐다. 모든 피해를 PG사(가맹점과 카드사를 연결하는 회사)가 지도록 계약을 맺었기 때문이다.

사건이 발생한 지 두 달이 넘었고 고객들의 불만과 불안감이 커지고 있지만 카드사들이 대책 마련에 나서지 않거나 고객 보호에 뒷전인 것도 이런 현실과 무관치 않다는 해석이다.

안심클릭 소액결제 시스템을 통한 불법 카드 결제는 2단계로 이뤄진다. 우선 해커들이 ‘온라인 쇼핑몰 피싱’이나 ‘키로그 프로그램’(해킹 프로그램)을 활용한 PC 해킹 등을 통해 카드번호, 비밀번호, CVV 같은 카드정보와 주민등록번호 등 개인정보를 빼낸다. 전자는 온라인 쇼핑몰에 시중 가격보다 배 이상 낮은 가격으로 물건을 파는 것처럼 위장 광고를 낸 뒤 소비자가 회원 가입 등 구매 절차를 마치면 ‘에러’ 표시를 띄우는 방법이다. 에러 창이 뜨는 순간 소비자의 카드정보와 개인정보는 모두 빠져나간다. 후자는 PC에 바이러스를 심은 뒤 그 안에 저장돼 있는 개인정보 등을 빼내 가는 수법이다.

해커들은 이런 식으로 빼낸 카드정보를 게임 사이트의 안심클릭 결제 시스템을 통해 무더기로 사용했다. 수사당국 관계자는 “게임 아이템 등 온라인에서 현금화가 가능한 것들만 구입했다.”면서 “물건을 받아야 현금화할 수 있는 고액 물품보다 결제도 쉽고 수사당국에 걸릴 위험성이 적기 때문”이라고 말했다.

카드 부정 사용에는 ‘자동 결제 해킹 프로그램’이 동원됐다. 카드번호, 비밀번호 등을 일일이 입력하던 아날로그 방식에서 카드정보를 자동 입력하는 디지털 방식으로 진화한 것이다. 수작업 땐 한 건 결제하는 데 보통 40~50초가 걸리지만 이 프로그램을 이요하면 3~4초 만에 수십 건씩 결제가 가능하다.

한 카드사 관계자는 “수초 만에 결제 승인 요청이 폭발적으로 올라온 건 최근의 현상”이라고 전했다. 수사당국은 중국 해커 조직들의 소행으로 보고 있다. 수법이 진화한 것을 빼고는 과거 게임 사이트에서 신용카드 정보를 도용한 방식과 유사하다는 것이다. 이번 범행도 중국 해커가 게임 사이트에서 게임 아이템 등을 구입한 뒤 같은 조직원의 아이디로 보내고, 그 조직원은 또 다른 조직원의 아이디로 보내는 등 몇 사람을 거친 뒤 국내 환전책을 통해 현금화한 것으로 전해졌다.

온라인 거래는 ‘온라인 가맹점-PG사-카드사’를 통해 이뤄진다. PG사는 온라인 가맹점을 모집·관리하며, 온라인 가맹점과 카드사의 대금 결제를 중개한다. 한 카드사 관계자는 “카드사들은 온라인 거래에서 피해가 발생할 경우 피해 금액을 PG사가 물도록 계약을 한다.”며 “금전적으로 손해를 보는 게 없어 대책 마련은 뒷전”이라고 털어놨다. 한국사이버결제(KCP)·KS넷 등 PG사 관계자들은 “법에는 해킹·도난 등에 의해 고객의 신용카드가 부정 사용되면 카드사가 책임지도록 돼 있지만 실제는 PG사나 온라인 가맹점이 모두 부담한다.”고 말했다.

김영기 금융감독원 여신전문총괄팀장은 “현행 법상 카드사가 PG사와 가맹점의 고의 또는 중대한 과실을 증명하면 손실액의 전부 또는 일부를 부담시킬 수 있지만 그렇지 않을 경우 책임을 전가하는 것은 불공정거래 소지가 있다.”고 밝혔다.

김승훈기자 hunnam@seoul.co.kr