해킹당한 기프트카드…일부 카드사 보안 '도마 위에'
중국 해커들이 국내 은행계 카드사 두 곳의 인터넷 홈페이지에서 기프트카드(선불카드) 정보를 몰래 빼내 사용하면서 수억원의 소비자 피해가 발생했다. 단순하고 초보적인 해킹 수법에 당한 것이어서 카드사들의 보안 문제가 또다시 도마에 오르고 있다.

19일 서울 강서경찰서는 중국에서 활동하는 해커에게 3억5000만원 상당의 50만원권 기프트카드 정보를 2억9000만원에 사들여 사용한 혐의로 이모씨(22)를 구속하고 나머지 일당 8명을 불구속 입건했다고 발표했다. 이들은 중국 해커에게 산 기프트카드 정보로 모바일 상품권을 구매한 뒤 이를 온라인 장터를 통해 재판매해 3000만원갸량의 부당이득을 챙긴 것으로 조사됐다. 기프트카드는 50만원 한도로 발행되는 무기명 선불카드로, 형태가 일반 신용카드와 거의 같은 데다 대부분 카드 가맹점에서 사용할 수 있다. 제3자에게 아무런 제약 없이 양도할 수 있어 명절 선물용 등으로 인기가 많지만 카드 정보만 알면 무기명으로 사용할 수 있기 때문에 보안 사고에 노출될 위험성이 크다.

경찰에 따르면 중국 해킹 조직이 지난해 12월 말부터 올해 1월 중순에 걸쳐 두 카드회사 홈페이지 등에서 기프트카드 번호와 유효기간, CVC(유효성 확인코드)번호 등을 빼낸 수법은 간단했다. 이들은 우선 국내 은행에서 구입한 기프트카드를 토대로 다른 기프트카드의 번호와 유효기간을 유추했다. 선불카드는 유효기간이 같으면 일정한 패턴으로 카드번호가 만들어지는데 이를 조합해 자신들이 실제 보유하지 않은 유효한 카드번호를 맞힌 것이다.

CVC번호는 카드사 홈페이지 잔액조회시스템에서 무작위로 세 자릿수 번호를 입력해 일치하는 번호를 알아냈다.

다른 카드사는 보통 3~7회 카드 정보를 잘못 입력하면 조회를 차단했지만 두 개 회사는 이 같은 보안장치를 마련하지 않아 중국 해커들의 표적이 됐다. 카드사 관계자는 “000부터 999까지 숫자를 무한 반복해 입력해도 해당 카드사가 이를 걸러내지 못했다”고 설명했다.

금감원은 파문이 확산되자 지난달 29일 금융회사에 ‘기프트카드 온라인 부정사용 사고 관련 유의사항’ 공문을 보내 시스템 보안 강화를 지시했다. 금감원 관계자는 “전자금융감독규정에서도 일정 횟수 이상 값을 잘못 입력하면 조회를 제한하고 사용을 중지하는 규정이 있는데 가장 기초적인 부분에서 잘못이 있었다”며 “해당 카드사 자체적으로 책임자를 제재 조치할 예정”이라고 밝혔다.

현재까지 파악된 피해는 A사가 10여건 500만원, B사가 20여건 990만원 규모지만 늘어날 가능성도 있다. B카드사 관계자는 “현재까지 확인된 피해자에 대해선 모두 보상처리했다”며 “재발 방지를 위해 보안시스템을 재정비하고 있다”고 말했다.

이지훈/오형주 기자 lizi@hankyung.com