신용카드 가맹점의 카드결제·금전등록기(POS 단말기)를 관리하는 업체에서 가맹점 고객의 신용카드 번호와 고객정보 등 1200만건이 무방비로 유출됐다.

광주광역시 서부경찰서는 4일 서울·경기지역에서 신용카드 결제기를 판매·관리하는 모 업체에서 카드 결제정보와 고객 개인정보가 유출된 정황을 확보, 관리자인 최모씨(39)를 서버 보안 조치를 하지 않은 혐의(개인정보보호법 위반)로 불구속 입건했다.

최씨는 중소 규모의 체인점이나 음식점 등의 카드결제기 가맹점에서 고객들이 결제한 신용카드 정보 450만건과 고객정보 750만건 등 1200만건의 개인정보를 별다른 보안 조치 없이 방치한 혐의를 받고 있다. 조사 결과 인터넷 구글창에서 카드번호만 입력하면 개인정보를 엑셀 파일 형태로 쉽게 빼낼 수 있을 정도로 서버 보안장치 관리가 허술한 것으로 드러났다.

경찰이 수사를 벌이게 된 계기도 해당 업체의 인터넷 홈페이지에 신용카드 번호를 직접 입력하면 서버에 저장된 거래 내역과 개인정보가 고스란히 노출되는 것을 확인하면서였다. 경찰은 미국의 한 IP(인터넷 프로토콜) 주소에서 이 같은 방법으로 지난 1월부터 주기적으로 해당 서버에 접속해 개인정보를 빼간 것으로 보고 있다.

경찰은 수도권에만 200~300곳에 이르는 영세 신용카드 단말기 관리업체들이 보안 프로그램 개발 및 사용에 비용이 적잖게 든다는 이유로 보안장치 없이 서버를 무방비로 사용하고 있다는 정보에 따라 다른 업체로도 수사를 확대 중이다.

김락중 서부서 사이버팀장은 “유출된 카드결제기 정보에는 고객의 신용카드 결제 정보와 이름, 주민등록번호, 전화번호 등이 담겨 있는데 해외에서는 신용카드 번호만으로도 결제가 이뤄지는 문제점이 발견되고 있어 2차 피해가 우려되는 상황”이라며 “해당 업체에 긴급 보안 조치를 하도록 통보하고 서버 접근제한 조치를 내렸다”고 설명했다.

정부는 음식점 등의 카드결제기를 통해 고객정보가 유출돼 부정 사용되는 사고가 발생해 2010년 8월 신용카드 거래정보 저장 금지, 중요 거래정보 암호화, 고객정보 유출 원천 차단을 골자로 하는 표준 보안 프로그램 사용 등 보안 강화 방안을 마련해 시행하고 있다. 이번 정보 유출로 단말기 관리업체의 보안 강화 대책이 마련돼야 할 것으로 지적된다.

광주=최성국 기자 skchoi@hankyung.com