긁는순간 정보 해외유출… 불법복제돼 마구 사용

국내 고객 신용카드 정보가 전국 카드가맹점의 ‘포스단말기’를 통해 해외로 유출돼 복제된 뒤 불법 사용되고 있는 것으로 확인됐다. 8월 초부터 이 같은 움직임이 포착됐으며, 이후 수사 당국은 유출 경위와 피해 규모 등 실태파악에 들어갔다. 소프트웨어 보안전문 업체인 안철수연구소는 백신 개발 및 해법 찾기에 돌입했다. 하지만 해당 카드사들이 고객의 정보 유출을 은폐하고, 피해 규모를 축소하고 있어 정확한 규모 파악은 잘 안 되고 있다.

포스단말기는 백화점·할인점·편의점·프랜차이즈 업소 등 중·대형 카드가맹점에 설치돼 있다.

포스(POS: Point of Sale) 단말기는 단순히 거래 내역만 저장되는 다른 카드단말기와 달리 카드번호·유효기간 등 모든 신용카드 정보가 저장되는 단말기다. 이 단말기는 하드와 소프트웨어로 이뤄진 일반 PC와 같다고 보면된다. 이 때문에 포스단말기는 범죄조직들의 해킹 표적이 되고 있다. 전문가들은 포스단말기를 이용한 카드 복제는 기존의 단순 카드 복제와는 다른 신종 수법으로 이를 방치할 경우 금융피해가 눈덩이처럼 불어날 수 있다며 적극적인 대응에 나서야 한다고 말한다.

3일 수사당국과 카드사 등에 따르면 신한·국민·삼성·현대·롯데·BC·외한카드 등 7개 카드사의 고객 정보가 카드를 긁는 순간 실시간으로 빠져나가고 있는 것으로 파악되고 있다.

8월9일부터 9월21일까지 전국 카드가맹점의 ‘포스단말기’가 해킹돼 7개 카드사의 ▲카드번호 ▲유효기간 ▲PVV(카드 비밀번호 암호화값) ▲CVV(신용인증값) 등 고객들의 신용카드정보가 국외로 유출됐다. 이 기간 동안 7개 카드사들의 카드정보 3000건(명)이 새나갔으며 이 중 6개 카드사(삼성카드는 미공개) 108건이 미국·이탈리아·그리스·스페인 등지에서 불법 복제돼 3억여원의 카드사용액이 발생했다(표 참조).

또 지난달에도 경기 파주의 S편의점, 경남 진해의 F커피숍의 포스단말기가 해킹당하는 등 카드정보 유출이 계속되고 있다. 카드업계 관계자들은 “포스단말기를 통한 실시간 카드정보 유출이 언제부터 일어났는지 정확히 알 수 없지만 올 여름부터 카드사들의 고객 신용카드정보가 동시다발적으로 빠져나가고 있는 게 사실”이라고 밝혔다.

한편 금융감독원에 접수된 2006~08년 해외 복제카드 피해액에 따르면 2006년 52억여원, 2007년 34억여원, 2008년 38억여원이다. 하지만 7개 카드사들의 연간 피해액은 120여억원에 이르는 것으로 업계는 보고 있다.

한 카드사 관계자는 “카드사별 손실금액은 대외비이기 때문에 금감원에 정확한 데이터를 보내지 않는다.”고 귀띔했다. 다른 관계자는 “피해 액수가 많다고 하면 불안해서 해당 카드사 카드를 사용하겠느냐.”면서 “카드사들이 쉬쉬하는 이유가 이 때문”이라고 말했다.

김승훈기자 hunnam@seoul.co.kr