카드 업계가 연이은 해킹사고로 인해 많은 지출이 발생하며 수익성과 관련된 고민을 거듭하고 있다 (사진=연합뉴스)
이랜드그룹 해킹사건의 불똥이 카드업계까지 튀었다. 해킹사고로 번호가 유출된 신용카드를 카드사가 재발급해야하기 때문이다. 10만건의 카드 정보가 유출됐으나 기간 만료 등을 제외한 유효한 카드는 3만6000건 가량으로 확인됐다.
16일 금융권에 따르면 미상의 해커들은 최근 이랜드그룹 사내 시스템에 랜섬웨어 공격을 한 후 4000만달러(약 445억원)을 요구했다. 이랜드 측이 협상에 응하지 않자 해커들은 지난 3일 1차로 다크웹에 약 10만개의 카드 정보를 공개했다.
이에 금융당국과 유관기관, 카드사들은 카드 정보 다크웹 유출 사건에 대해 조사를 벌였다. 그 결과 해커들이 유출한 정보 10만건 중 유효한 카드 정보는 3만6000건으로 확인됐다. 나머지 6만4000건은 기간이 만료됐거나 실존하지 않는 정보였다.
나머지 3만6000건 중 2만3000건은 과거에 불법 유출된 정보로 이미 부정사용감지시스템(FDS) 등록 등 조치가 완료된 정보로 파악됐다. 이번 사건으로 새롭게 유출된 정보는 사실상 1만3000건이다.
카드사에 따르면 해킹으로 공개된 유효 정보들엔 카드번호와 유효기간 등이 포함되어 있다. 하지만 온라인 결제를 위한 CVC 정보, 비밀번호 등은 공개되지 않았다. 유출된 정보만으로는 온라인 및 오프라인 가맹점 등에서 사용할 수 없다는 얘기다.
금융당국도 FDS 분석을 통해 카드 거래내역을 확인한 결과 카드 발급일로부터 전날까지 해당 유효 카드에서 발생한 거래는 없었다.
금융회사는 정보가 유출된 카드 소지자에게 연락해 예방조치를 하고 있다. 이메일·문자메시지·전화 중 최소 2가지 방법을 사용해 직접 소비자에게 연락해 카드를 새로 발급받게 하거나 해외거래 정지 등록을 하도록 안내했다.
카드번호 유출로 사고가 발생했다면 카드사나 은행이 전액 보상하도록 법에 명시돼 있다. 여신전문금융업법 16조는 "해킹, 전산장애, 정보 유출 등 부정한 방법으로 얻은 신용카드 정보를 이용한 부정 사용에 대해서는 신용카드업자가 책임을 부담한다"고 돼있다.
한 카드사 관계자는 "카드 플레이트와 배송비가 들어가기 때문에 평균적인 카드 재발급 비용은 건당 7000~8000원 정도"라며 "부가적인 안내 문자 메시지 비용은 건당 30원이 들어간다"고 설명했다.
카드 정보 유출은 이전에도 종종 일어났다. 해킹 등의 정보 유출은 매년 1만건 이상 발생한다.
국내 금융회사들은 지난 6월 금융보안원 등을 통해 카드 정보가 해외 인터넷 암시장에서 유통되고 있다는 사실을 확인했다. 전체 90만건 중 약 41만건이 유효한 카드 정보였다. 또 지난 7월엔 여신전문금융업법 위반 혐의자를 조사하는 과정에서 다량의 카드 정보 도난 사실이 밝혀졌다. 그 중 유효한 카드 정보가 61만7000건에 달했다.
코로나19와 가맹점 수수료 인하 등의 이슈로 인해 악화된 수익성으로 골머리를 앓고 있는 카드사들은 연이은 해킹 이슈에 내년 예산 책정에도 어려움을 겪고 있다.
업계 관계자는 "앞으로 2~3년 동안은 이러한 비용 지출이 꾸준하게 발생할 것으로 보인다"며 "최근 다크웹 등에 유출된 카드 정보는 대부분 2018년 IC 단말기 도입 이전 악성코드에 감염된 POS기를 통해 해킹된 것이기 때문에 2023년까지는 유출 사고로 인한 비용이 발생할 수밖에 없다"고 설명했다.