최근 발생한 KB국민카드, NH농협, 롯데카드 개인정보 유출 사고와 관련해 해당 업체들은 유출된 정보로는 카드 위변조가 불가능하다는 입장이다.
그러나 외부 전문가들 사이에선 복제신용카드 제작에 악용될 가능성도 높다는 지적이 있어 논란이 예상된다.
20일 개인정보가 유출된 카드 3사는 기자회견을 열고 유출된 정보에는 비밀번호, 카드유효성검사코드(CVC) 등은 포함되지 않아 현재까지 확인된 유출 정보만으로는 카드복제가 불가능하다고 밝혔다.
KB국민카드의 경우 카드번호, 유효기간, 비밀번호, CVC 등은 유출되지 않았다고 발표했으나 다른 두 카드회사는 고객이름, 카드번호, 유효기간 등이 공개된 것으로 나타났다.
그런데 해외의 경우 신용카드번호, 유효기간, 고객 이름 등만 알고 있어도 위조된 신용카드를 만드는 일이 가능한 것으로 이미 확인됐다.시스코 위협 조사 분석 및 커뮤니케이션팀 블로그, 크렙스온시큐리티 등 보안전문 블로그는 이보다 앞서 미국 대형마트 타깃에서 사용되는 POS단말기를 통해 유출된 결제카드 정보를 악용한 위조카드가 블랙마켓에서 유통되고 있다고 밝혔다.
시스코 블로그에 따르면 신용카드 마그네틱 부분은 3개 트랙으로 나눠진다. 이 중 첫번째 트랙에는 카드번호, 고객이름, 유효기간에 대한 정보만 기록된다. 마그네틱 부분에 대한 최소한의 정보만 있으면 신용카드를 위변조하는 일이 가능하다는 것이다.
심각한 점은 해외 POS단말기는 물론 국내에서도 여전히 신용카드의 마그네틱 부분만을 활용한 결제가 이뤄지고 있다는 것이다.
편의점은 물론 은행전용 ATM을 제외한 대부분 POS단말기는 마그네틱 부분만을 긁어서 결제하는 방식을 활용한다.
이와 관련 국내 보안업계 관계자는 마그네틱 부분에 카드번호와 유효기간만 들어가는 경우도 있다며 IC카드 결제기능을 탑재하고 있다고 하더라도 편의상 마그네틱 부분을 사용한 결제를 하는 일이 많아 문제가 될 수 있다고 말했다.
해외에서 문제가 된 것처럼 저가형 POS단말기를 통해 마그네틱 결제만 허용한 곳에서는 유출된 정보를 악용한 신용카드를 만드는 일이 가능해지는 셈이다.
카드사들은 검찰이 유출된 정보가 유포되기 전에 압수했기 때문에 문제가 없다고 밝혔으나 카드번호, 유효기간 등에 대한 정보가 새나가 위변조에 악용됐었다면 카드대란을 불러올 정도로 심각한 위험이 될 수 있었던 사안이었던 것이다.
다른 보안 전문가 역시 우리나라에서는 확실히 모르나 해외에서는 이미 온라인 사이트를 통해 카드정보를 매매하고, 이를 특수 장비를 이용해 위변조해 재판매하는 경우가 많다고 전했다.
POS단말기는 종류가 다양하기 때문에 마그네틱 부분만 읽는 기기, IC칩까지 인식하는 기기 등으로 다양하다. 또한 신용카드 번호, 유효기간 외에 CVC나 다른 정보까지 인식해야만 결제가 이뤄지도록 설계된 경우도 있다.
그러나 구형 POS단말기는 IC칩이 있다고 하더라도 마그네틱 부분만 읽는 경우가 많다. POS단말기가 저가로 공급되는 탓에 추가적인 기능을 탑재하지 못하고 공급되는 일이 많기 때문이다.
정부에서는 내년 1월 부터 구형 마그네틱 카드로 물건을 사거나 현금서비스, 카드론 거래 등을 할 수 없게 제한한다고 발표했으나 아직 1년 간 마그네틱 결제는 아무런 제한 없이 허용되고 있는 실정이다.
김승주 고려대 정보보호대학원 교수에 따르면 현재 신용카드/체크카드 등에 사용되는 마그네틱 부분에 담기는 정보는 ISO/IEC7813 국제표준을 따르고 있다.
이에 따르면 마그네틱 부분 중 트랙1에는 계좌번호, 고객이름, 유효기간, 서비스코드, CVC 등에 대한 정보가 담긴다. 그러나 국내 금융거래에 CVC를 도입한 것이 1년 남짓한 상황에서 마그네틱 부분을 활용한 결제에 CVC정보가 담겼을지 여부는 확인되지 않고 있다.
관련기사
- 카드정보 유출방지 대책 "안심이 안되네"2014.01.20
- 정 총리, 카드 정보유출 "책임자 엄벌" 지시2014.01.20
- 카드사 정보유출 확인 폭주…KT 1588 장애2014.01.20
- 롯데·KB국민·NH농협 카드사 정보유출 확인방법 '또 분노'2014.01.20
이와 관련 금융감독원 여전감독국 김호종 팀장은 마그네틱 카드의 경우 실물카드를 훔쳐 스캐너라는 복사장비를 통해 정보를 덧씌우는(인코딩) 기기를 활용한 사례는 발견되고 있으나 국내에서는 아직 사례가 발견된 적은 없다며 있다고 하더라도 본인이 사용하지 않는 카드라고 신청을 하면 된다고 말했다.
그러나 국내 보안업계 관계자는 마그네틱 결제에 CVC까지 안 읽어들이는 경우가 훨씬 많다고 주장했다. 결국 최근 개인정보유출사고와 관련 카드 사용자들이 불안감을 최소화하기 위한 가장 확실한 방법은 카드를 재발급 받거나, 해지하는 수밖에 없다는 목소리가 커지는 분위기다.
