국내 신용카드 정보 약 90만건이 해외 인터넷 암시장에서 불법 유통되는 것으로 나타나면서 2차 피해가 우려되고 있다. 이용 편의성을 앞세워 고객을 끌어모으는 모바일 금융 서비스 앱 토스 역시 등록된 모든 계좌가 털릴 수 있다는 우려가 적지 않다. 일각에서는 지난 2014년 발생한 카드사 개인정보 유출 사태에 이어 '역대급' 금융 보안사고로 이어질 수 있다는 우려가 나온다.
◆카드정보 90만건 불법 유통…2차 피해 이어지나
9일 여신금융협회에 따르면 최근 금융보안원은 싱가포르의 한 보안업체로부터 국내 신용카드 정보 약 90만건이 해외 인터넷 암시장에서 불법으로 유통되고 있음을 확인했다.
카드정보 중 카드번호, 유효기간, CVC가 유출됐고, 비밀번호는 유출되지 않은 것으로 파악됐다.
90만건 중 유효한 카드정보는 41만 건이다. 나머지 54%는 유효기간이 만료되거나 재발급 전 카드로 실제 사용이 불가능하다.
카드정보 유출은 어제오늘의 일이 아니다. 2014년에는 KB국민·NH농협·롯데카드에서 대규모 개인정보 유출 사고가 발생했다. 카드정보는 물론 개인 신상정보, 금융정보 등 이들 카드사에서 총 1억건이 유출됐다. 당시 카드사에 파견된 신용평가 업체 직원이 돈을 받고 대출중개업자에게 개인정보를 넘긴 것으로 알려졌다.
개인정보는 추후 텔레마케팅 목적으로 또 한번 유통되며 2차 피해로 이어졌다. 특히 정보는 한번 유출되면 완전한 회수가 어렵고, 2차 피해를 측정하는 것도 불가능하다.
이에 해외에서 불법 유통되고 있는 90만건의 카드 정보 역시 2차 피해로 이어질 가능성이 제기된다. 비밀번호만 알아내면 나머지 카드정보로 결제를 시도할 수 있다. 카드 비밀번호는 숫자 4자리의 단순 조합으로, 해커들이 무작위 공격으로 알아낼 수 있다.
카드업계는 부정사용방지시스템(FDS)을 통해 이상 징후가 감지되면 승인을 차단한다는 방침이지만 단말기 관리 소홀에 대한 책임을 피할 수 없을 것으로 보인다.
현재 불법 유통되고 있는 카드 정보 90만건은 지난 2015~2018년 사이 가맹점 단말기에서 유출된 것으로 추정된다. 지난 2014년 카드 3사의 개인정보 유출 사고 후 보안 강화를 위해 IC칩 단말기로의 교체사업이 진행됐는데, 그 과정에서 해커들이 예전 단말기에 남아 있는 카드정보를 노린 것이다.
결국 금융당국과 카드업계가 보안성이 취약한 이전 단말기를 방치하는 탓에 90만건에 달하는 카드 정보가 유출됐다는 지적이다.
◆토스의 '예견된' 보안 사고..."계좌 다 털릴 수도"
1700만 가입자를 확보한 토스에서는 이용자 동의 없이 결제되는 사고가 발생했다. 토스를 운용하는 비바리퍼블리카에 따르면 지난 3일 온라인 가맹점 3곳에서 8명의 고객 명의로 총 938만원이 부정 결제됐다.
관건은 고객의 비밀번호가 어떻게 도용됐는지다. 토스는 외부에서 비밀번호가 유출된 것이라고 밝혔다. 고객 비밀번호를 암호화해 저장하기 때문에 이론적으로 해킹이 불가능하다는 것이다.
토스는 이번 사고를 기점으로 보안에 취약한 '웹 결제 방식'을 '앱 결제 방식'으로 전면 전환하겠다고 전했다. PC에서 비밀번호 5자리만 알면 도용이 가능한 '웹 결제 방식'과 달리, '앱 결제 방식'은 PC에서 결제하더라도 마지막에 모바일 기기로 본인을 인증해야 하기 때문에 기기를 잃어버리지 않는 이상 해킹이 쉽지 않다는 설명이다.
하지만 금융 전문가들은 이번 토스 사고가 '예견된 보안사고'라고 입을 모은다. 토스 서비스의 기본 방식은 '비밀번호가 필요 없는' 자동이체인 탓이다.
토스 결제를 진행하면 토스가 고객의 은행 계좌에서 수취자 계좌로 돈을 자동으로 넘겨주는 구조다. 이 서비스를 이용하기 위해 고객은 은행 계좌를 토스 계좌로 등록해야 하는데, 한번 등록하면 이후에는 별다른 비밀번호 입력 없이 자동으로 이체가 가능하다. 토스 고객의 비밀번호만 도용하면 토스에 등록된 모든 계좌를 해킹할 수 있는 셈이다. 토스는 '앱 결제 방식' 하에서는 이론상 해킹이 불가능하다는 입장이지만, 기기 자체를 해킹할 수 있어 피해고객은 기하급수적으로 늘어날 수 있다.
금융권 관계자는 "신용카드 자동이체도 비밀번호를 한번만 입력하면 향후엔 필요 없지만, 신용카드는 수취인이 카드사이기 때문에 사고가 발생하면 고객이 카드사를 찾아가면 된다"며 "하지만 토스의 경우 수취인이 제3자인 탓에 사고 발생 시 고객이 돈을 찾지 못할 수도 있다"고 말했다.
또 다른 관계자는 "토스는 기본적으로 이용 편의성을 앞세웠지만, 위험한 서비스라는 데 전문가들 사이에선 이견이 없다"고 전했다.
[그래픽=아주경제]
◆카드정보 90만건 불법 유통…2차 피해 이어지나
9일 여신금융협회에 따르면 최근 금융보안원은 싱가포르의 한 보안업체로부터 국내 신용카드 정보 약 90만건이 해외 인터넷 암시장에서 불법으로 유통되고 있음을 확인했다.
카드정보 중 카드번호, 유효기간, CVC가 유출됐고, 비밀번호는 유출되지 않은 것으로 파악됐다.
카드정보 유출은 어제오늘의 일이 아니다. 2014년에는 KB국민·NH농협·롯데카드에서 대규모 개인정보 유출 사고가 발생했다. 카드정보는 물론 개인 신상정보, 금융정보 등 이들 카드사에서 총 1억건이 유출됐다. 당시 카드사에 파견된 신용평가 업체 직원이 돈을 받고 대출중개업자에게 개인정보를 넘긴 것으로 알려졌다.
개인정보는 추후 텔레마케팅 목적으로 또 한번 유통되며 2차 피해로 이어졌다. 특히 정보는 한번 유출되면 완전한 회수가 어렵고, 2차 피해를 측정하는 것도 불가능하다.
이에 해외에서 불법 유통되고 있는 90만건의 카드 정보 역시 2차 피해로 이어질 가능성이 제기된다. 비밀번호만 알아내면 나머지 카드정보로 결제를 시도할 수 있다. 카드 비밀번호는 숫자 4자리의 단순 조합으로, 해커들이 무작위 공격으로 알아낼 수 있다.
카드업계는 부정사용방지시스템(FDS)을 통해 이상 징후가 감지되면 승인을 차단한다는 방침이지만 단말기 관리 소홀에 대한 책임을 피할 수 없을 것으로 보인다.
현재 불법 유통되고 있는 카드 정보 90만건은 지난 2015~2018년 사이 가맹점 단말기에서 유출된 것으로 추정된다. 지난 2014년 카드 3사의 개인정보 유출 사고 후 보안 강화를 위해 IC칩 단말기로의 교체사업이 진행됐는데, 그 과정에서 해커들이 예전 단말기에 남아 있는 카드정보를 노린 것이다.
결국 금융당국과 카드업계가 보안성이 취약한 이전 단말기를 방치하는 탓에 90만건에 달하는 카드 정보가 유출됐다는 지적이다.
◆토스의 '예견된' 보안 사고..."계좌 다 털릴 수도"
1700만 가입자를 확보한 토스에서는 이용자 동의 없이 결제되는 사고가 발생했다. 토스를 운용하는 비바리퍼블리카에 따르면 지난 3일 온라인 가맹점 3곳에서 8명의 고객 명의로 총 938만원이 부정 결제됐다.
관건은 고객의 비밀번호가 어떻게 도용됐는지다. 토스는 외부에서 비밀번호가 유출된 것이라고 밝혔다. 고객 비밀번호를 암호화해 저장하기 때문에 이론적으로 해킹이 불가능하다는 것이다.
토스는 이번 사고를 기점으로 보안에 취약한 '웹 결제 방식'을 '앱 결제 방식'으로 전면 전환하겠다고 전했다. PC에서 비밀번호 5자리만 알면 도용이 가능한 '웹 결제 방식'과 달리, '앱 결제 방식'은 PC에서 결제하더라도 마지막에 모바일 기기로 본인을 인증해야 하기 때문에 기기를 잃어버리지 않는 이상 해킹이 쉽지 않다는 설명이다.
하지만 금융 전문가들은 이번 토스 사고가 '예견된 보안사고'라고 입을 모은다. 토스 서비스의 기본 방식은 '비밀번호가 필요 없는' 자동이체인 탓이다.
토스 결제를 진행하면 토스가 고객의 은행 계좌에서 수취자 계좌로 돈을 자동으로 넘겨주는 구조다. 이 서비스를 이용하기 위해 고객은 은행 계좌를 토스 계좌로 등록해야 하는데, 한번 등록하면 이후에는 별다른 비밀번호 입력 없이 자동으로 이체가 가능하다. 토스 고객의 비밀번호만 도용하면 토스에 등록된 모든 계좌를 해킹할 수 있는 셈이다. 토스는 '앱 결제 방식' 하에서는 이론상 해킹이 불가능하다는 입장이지만, 기기 자체를 해킹할 수 있어 피해고객은 기하급수적으로 늘어날 수 있다.
금융권 관계자는 "신용카드 자동이체도 비밀번호를 한번만 입력하면 향후엔 필요 없지만, 신용카드는 수취인이 카드사이기 때문에 사고가 발생하면 고객이 카드사를 찾아가면 된다"며 "하지만 토스의 경우 수취인이 제3자인 탓에 사고 발생 시 고객이 돈을 찾지 못할 수도 있다"고 말했다.
또 다른 관계자는 "토스는 기본적으로 이용 편의성을 앞세웠지만, 위험한 서비스라는 데 전문가들 사이에선 이견이 없다"고 전했다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지
![[포토] 석촌호수에 나타난 포켓몬 라프라스와 피카츄](https://image.ajunews.com/content/image/2024/04/26/20240426155410280572_388_136.jpg)
![[포토] 악수하는 이재명 대표와 조국 대표](https://image.ajunews.com/content/image/2024/04/26/20240426003606867599_388_136.jpg)
![[포토] 최정, 한국 야구 역사 468호 쾅](https://image.ajunews.com/content/image/2024/04/24/20240424232935147850_388_136.jpg)
![[슬라이드 포토] 성수동이 들썩! 입생로랑 뷰티 팝업 방문한 스타들](https://image.ajunews.com/content/image/2024/04/24/20240424184737983118_388_136.jpg)
![[금투세 폐지 논란] 코리아 디스카운트 심화...韓증시 불확실성 높여](https://image.ajunews.com/content/image/2024/01/03/20240103150426112900_388_136.jpg)
