결제카드 번호만으로 카드 도용…수년전 지적에도 당국 손놔!
#1. 2009년 5월 김모(51)씨는 서울에 있는 식당 부근 쓰레기통에서 신용카드 전표를 줍거나 영수증을 훔쳐 카드번호와 유효기간 등을 알아낸 뒤 사업자용 휴대용 단말기에 입력,900여만원을 결제했다.휴대 단말기에는 주민번호를 입력하지 않아도 결제가 가능한 점을 이용했다.#2. 2002년 1월 양모씨 등 일행 3명은 서울 신촌의 한 식당에서 신용카드 전표 300장을 훔쳐 전표에 적힌 카드번호와 유효기간을 이용, 인터넷쇼핑몰 등에서 노트북 등을 구입한 뒤 경매 사이트를 통해 되팔아 돈을 챙겼다.
금융당국은 이와 관련,2006년 신용카드사 등에 카드번호와 비밀번호 노출에 대한 시정을 권고했으나 강제성이 없어 ‘해도 그만,안해도 그만’식으로 지나온 탓이다.지금은 업체의 자율적 판단에 맡기고 있는 형편이다.
●이런 경우 때문에 취약하다
인터넷상 결제의 경우 이곳에서 신용카드를 사용하려면 대부분 번호와 유효기간,주민등록번호까지 필요하다. 하지만 전문가들이 주민번호를 아는 것은 어렵지 않은 것으로 알려졌다. 또한 카드사와 가맹점간 특약을 맺은 ‘수기거래’를 할땐 카드번호 유효기간만으로 결제가 가능하다는 점도 취약점이다. 유명 TV홈쇼핑의 경우 상담원을 통한 상품 구매시 신용카드 번호와 유효기간만 불러주면 결제되는 것으로 확인됐다.
금융감독원은 서울신문이 개인정보 노출 전표 등을 갖고 확인에 들어가자 “점검해서 고치겠다.”고 밝혔지만 카드업체의 의지 부족과 당국의 손길이 닿기 어려운 수천개의 결제단말기 제조업체의 난립으로 관리는 쉽지 않은 실정이다.
●금감원 “카드번호·유효기간 가리라” 권고
금감원은 2006년 신용카드의 번호와 유효기간에 숫자 대신 ‘*’ 표시 등 특수처리로 번호노출을 방지할 것을 카드사 등에 ‘지도’를 통해 당부했다. 버려진 전표를 수집한 뒤 카드정보를 이용, 범죄에 악용하는 사례가 종종 발생했기 때문이다. 지도는 강제성은 없지만, 업계 관계자들과 협의후 공문을 통해 관련사항 이행을 촉구한 것이다.
하지만 서울신문이 영수증을 수집·점검한 결과, 지금도 카드영수증에 개인정보가 고스란히 노출되고 있었다. 서울 의 유명 호텔의 식당에서 발급된 영수증에는 카드번호 16자리와 유효기간 4자리가 고스란히 찍혀 나왔다. 대기업 소속 잡화매장의 영수증에도 유효기간이 전부 노출됐다. 한 대형 편의점에서도 마찬가지 였다.
카드번호가 가려진 위치도 제각각이었다. 식당에서 받은 전표는 앞에서 3번째 그룹 네자리가 가려지고, 잡화점 것은 맨 뒤 네자리가 가려지는 식이다. 우체국에서 발급받은 영수증에는 맨 뒤 네자리에 ‘*’가 표시됐다. 정확하게 정한 기준이 없고 사용 기기들이 다양해 빚어지는 혼선으로,언젠가는 통일해야 할 사항이었다.
금감원은 아쉽게도 이들 문제를 제대로,정확히 알고 있지 못했다. 한 관계자는 “유효기간은 일부라도 가려지게 돼 있는데 사실 확인을 해보겠다.”고만 말했다. 카드번호 삭제 위치 관련 규정에 대해선 “2006년 지도를 할 당시 예시로 3번째 그룹 네자리를 ‘*’ 표시하라고 했었는데 강제성은 없었다.“면서 “실제로 카드번호와 유효기간만 가지고는 다른 사람이 사용하기 어렵지만, 대응 방안을 연구해야 할 것 같다.”고 답했다.
●여전한 개인정보 유출,왜?
또 일부이지만 개인정보가 노출되는 예전 방식의 영수증과 자체 용지를 쓰는 곳도 있었다.하지만 전국에 26만대로 추정되는 포스단말기(POS·판매 재고관리 단말기)가 보급돼 있어 사실상 당국의 손길이 미치지 못하는 실정이다.
여신금융협회는 “2006년부터 보안상 (번호가 가려지는) 새로운 매출전표를 사용할 것을 당부했다. 하지만 예전 영수증을 쓰는 가맹점이 남아 있는 것 같다.”고 말했다. 다른 관계자는 “일부 자체 용지를 쓰는 곳에서 유효기간 등이 표시되는데, 권고는 할 수 있지만 강제할 규정이 없어 100% 개선이 힘든 것이 어려움”이라고 토로했다.
개인정보가 노출되는 실태를 종합해 보면 ▲예전 방식의 영수증 ▲업체 자체용지▲일부 포스단말기 영수증에서 ‘유효기간 등 표기’가 문제점으로 드러났다.
●뒤늦은 대책…실효성은?
금감원의 관리 감독에 어려움이 없는 것은 아니다. 금감원은 신용카드사를 감독할뿐, 밴사를 직접 통제할 수는 없다. 밴사는 카드사와 가맹점을 전산으로 연결해주는 부가통신사업자(VAN)이다. 신용카드사가 법적 효력을 가진 기관이 아니기 때문에 이들의 관리감독이 힘들다는 얘기다. 전국 수천개의 결제단말기 제조업체도 1~2명이 관리하는 곳이 많아 문제점으로 지적된다.
금감원 관계자는 이같은 문제점과 관련, “(밴사와 직접 연관된) 신용카드사들에 점검 체계를 마련해 보고하라고 했다. 5~6월 중에 점검할 예정”이라면서 “앞으로 신용카드사가 1년에 한번씩 의무적으로 밴사를 점검해 금감원으로 보고하도록 조치했다.”고 말했다.또 “카드사와 밴사가 협의를 통해 문제가 된 포스단말기의 기술표준을 마련하고 보안모듈을 만드는 중”이라고 밝혔다. 보안모듈을 설치하지 않은 단말기의 신용카드 승인을 거절시키겠다는 의지다.
하지만 이 대책도 ‘매출전표 정보 기록’과 관련이 없는 별개인 것으로 확인됐다. 여신협회 관계자는 “이번 기술표준은 포스단말기 내에 저장되는 개인정보를 암호화 하는 것으로 매출전표 표기와는 관계가 없다.”고 말했다.
인터넷서울신문 최영훈기자 taiji@seoul.co.kr
Copyright ⓒ 서울신문. All rights reserved. 무단 전재-재배포, AI 학습 및 활용 금지