안심클릭? 안심못해!···'시티카드 해킹사건' 피의자 검거

신용카드 인터넷 소액 결제 시스템의 허점을 이용해 다른 사람의 신용카드 번호만으로 억대의 물품을 구입한 사건이 또 다시 발생했다.

카드회사들의 무사안일주의와 카드 이용자들의 부주의 때문이라는 지적이 나오고 있다.

지난 2월 초 시티카드 30장이 고객들도 모르는 사이 누군가에 의해 무차별적으로 사용된 사건이 발생했다. 건당 30만원 미만의 물품 6000만원 어치가 인터넷을 이용해 구매된 것.

경찰청 사이버테러 대응센터는 시티카드측의 신고를 받아 수사에 착수했고 2개 월 만에 범인을 검거해 12일 구속했다.

범인은 신용카드 도용으로 이미 구속된 전력이 있는 박 모(34 ·경북 김천)씨.

남의 카드번호를 이용해 감쪽같이 물품을 구입한 박 씨의 수법은 생각보다 간단했다.

박 씨는 우선 인터넷에서 입수한 폐기된 카드번호 1000개를 분석해 카드번호 부여의 규칙성을 알아낸 뒤 이용 가능한 유효카드 번호를 판별해냈다.

이어 지난해 9월부터 이들 카드를 가지고 게임 사이트 등에서 30만원 미만의 소액 물품 구매에 본격적으로 들어갔다.

범행 당시 인터넷 소액 결제 시스템인 '안심클릭'은 입력오류 제한 없이 비밀번호만 입력하는 허술한 방식을 채택해 어렵지 않게 뚫리고 말았다.

별다른 보안의식 없이 비밀번호 개인 확인 메시지를 누구나 추정 가능한 것으로 정해 놓은 카드 이용자들의 부주의도 한 몫했다. 박 씨가 이런 방법으로 남의 카드번호 111개를 도용해 구입한 물품은 지난 2월까지 1억 1300만원 어치.

도용된 카드번호 가운데 시티카드 것이 56개로 가장 많았고 외환카드 20개, 하나카드 15개, 신한카드 10개, 수협카드 6개, 광주은행카드 4개 순이었다.

경찰은 "범행이 6개월간 지속됐음에도 카드사들이 피해 사실을 수사기관에 신고하지 않고 쉬쉬하다 피해를 키웠다"며 "더욱이 신용카드 접속 기록도 보관하지 않는 등 금융사고 대처에 대단히 취약한 상태였다"고 꼬집었다.

이들 카드사들은 피해가 발견되자 빠르게는 지난해 8월부터 안심클릭 보안성을 보완하는 작업에 들어갔지만 시티카드는 지난 2월 21일에야 비밀번호에 CVC 값 입력을 추가하는 안이함으로 가장 큰 피해를 입고 말았다.

CBS사회부 권민철 기자 twinpine@cbs.co.kr

*카드번호 알아내 소액결제로 1억 챙겨

경찰청 사이버테러대응센터는 폐기된 신용카드 번호를 이용해 현재 사용 중인 신용카드 번호를 알아낸 뒤 소액결제를 통해 1억 여원을 챙긴 혐의로 34살 박 모 씨를 구속하고 중국으로 달아난 또다른 1명을 수배했습니다.

경찰 조사 결과 박 씨 등은 지난해 9월부터 최근까지 이른바 '카드깡' 관련 인터넷 카페에서 폐기된 신용카드 번호 천여 건을 입수한 뒤 끝 번호를 무작위 입력하는 방식으로 카드번호의 생성 규칙을 알아내 카드번호 백 11개를 확보한 것으로 드러났습니다.

이들은 특히 30만 원 이하의 소액거래는 공인인증서 없이 카드번호와 비밀번호만 입력하면 인터넷 결제가 가능하다는 점을 이용해 게임사이트에서 아이템을 구입해 현금화하는 방법으로 1억여 원의 부당이득을 챙긴 것으로 밝혀졌습니다.

경찰은 박 씨 등이 먼저 카드번호를 확보한 뒤 인터넷 결제를 하는 과정에서 카드와 관련된 여러가지 번호를 바꿔가면서 입력해 보는 수법으로 비밀번호까지 알아냈다고 밝혔습니다.

장민수 기자