[단독] “내가 예매를?”… CGV·롯데시네마 인증 구멍

[단독] “내가 예매를?”… CGV·롯데시네마 인증 구멍

김승훈 기자
입력 2015-07-07 23:22
수정 2015-07-08 02:15
  • 기사 읽어주기
    다시듣기
  • 글씨 크기 조절
  • 댓글
    0

신용카드 정보 불법으로 빼낸 40대 영화관 홈피서 1000만원 넘게 예매 온라인 장터 ‘뽐뿌’ 등서 되팔아 현금화

국내 1, 2위 멀티플렉스 영화관인 CJ CGV와 롯데시네마의 영화 예매 결제 시스템이 뚫렸다. 도용된 신용카드 정보가 두 인터넷 사이트에서 무더기로 불법 결제에 이용됐다.

이미지 확대
7일 서울 수서경찰서에 따르면 정모(43·구속)씨는 지난 1~5월 불법 취득한 타인의 신용카드 정보로 CGV와 롯데시네마 인터넷 사이트에서 영화예매권 1300~1400장을 대량 구매한 뒤 인터넷 사이트 ‘뽐뿌’ 장터 등에서 액면가의 70~80% 수준으로 되팔아 800만~900만원의 이득을 챙겼다.

범죄는 3단계로 이뤄졌다. 먼저 게임 사이트의 아이디·패스워드와 이름, 주민번호 등 7849명의 개인정보를 국내 판매업자에게서 구입한 뒤 국내 유명 카드사의 홈페이지에 접속해 게임 사이트와 카드사의 아이디·패스워드가 일치한 200여명의 신용카드 정보(카드 번호, 유효기간 등)를 파악했다.

이후 CGV, 롯데시네마의 인터넷 사이트에 들어가 영화 예매권을 1000만원 넘게 구입했다. 경찰은 “게임 사이트와 같은 아이디·패스워드를 쓴 CGV, 롯데시네마 회원들이 피해를 입었다”고 했다.

이런 범죄가 가능했던 것은 CGV, 롯데시네마가 대다수 전자상거래 사이트에서 구축한 안전결제시스템을 갖추지 않고 있기 때문이다. 가령 인터파크 등은 구매 상품을 최종 결제하기 위해선 본인 인증 절차가 강화된 안전결제(ISP) 과정을 거쳐야 한다.

반면 두 영화관 사이트는 신용카드 번호 16자리, 비밀번호 앞 2자리, 유효기간, 생년월일(주민번호 앞 6자리)만 입력하면 된다.(그래픽 참조) 정씨는 비밀번호 앞 두 자리는 게임사이트 아이디나 패스워드에 병기된 아라비아 숫자들을 이용했다.

사람들이 보통 아이디나 패스워드에 쓰는 숫자들을 다른 데서도 비밀번호로 사용한다는 점에 착안했다. 경찰은 “공인인증서나 안심클릭, ISP 등 강화된 인증 절차가 있으면 불법 결제를 못 하는데 CGV와 롯데시네마는 그런 인증 절차가 없다”고 지적했다.

더욱이 두 영화관 사이트에서의 신용카드 불법 결제는 이번이 처음이 아니어서 개인정보 보호 허술에 대한 비난은 더욱 커질 것으로 보인다. 2011년 처음 불법 결제 피해가 확인됐고 2013년에는 피해 규모가 3000만~4000만원에 달했다. 당시 경찰과 금융감독원은 전자상거래 인증 절차를 강화하라고 권고했지만 두 영화관은 꿈쩍도 하지 않았다. 외부에 알려지지 않았기 때문이다. 이번에도 어떻게 된 영문인지 경찰에서 수사 결과를 발표하지 않고 지난 5일 행정자치부가 낸 ‘정부, 개인정보 보호 관련법 위반 사범 근절한다’라는 제목의 보도 자료에 ‘영화 예매 사이트에서 티켓 200여장을 구매한 후 되판 피의자를 구속했다’고 간략히 언급됐을 뿐이다.

경찰은 “신용카드 도용으로 일어난 피해는 카드사에서 보상해 준다”며 “CGV, 롯데시네마는 간편 결제로 이익만 챙기려 했지 자사 회원들의 개인정보 보안에는 조금도 신경 쓰지 않았다”고 비판했다.

이와 관련해 CGV 측은 “상품권 구매 등 일부에서는 ISP 결제를 하고 있고, (문제가 된) 영화예매권 구매에 대해서도 ISP 도입 방안을 검토하고 있다”고 했다. 롯데시네마 측도 “현재 ISP시스템을 테스트하고 있다”고 밝혔다.

김승훈 기자 hunnam@seoul.co.kr
2015-07-08 9면
Copyright ⓒ 서울신문. All rights reserved. 무단 전재-재배포, AI 학습 및 활용 금지
close button
많이 본 뉴스
1 / 3
광고삭제
광고삭제
위로