[진화하는 금융사기]카드 위·변조 3년새 두 배… 대책은 ‘그때 그소리’

지난해 카드 부정사용 5만6000건… 금융당국 ‘IC카드 전환 계획’ 반복만

# 지난해 3월 주유소에서 대량으로 신용카드를 복제해 부정 사용한 일당이 경찰에 붙잡혔다. 이들은 2013년 10월부터 지난해 1월까지 대전의 한 주유소에서 카드 리더기를 이용해 고객 신용카드 정보 5000여건을 불법으로 수집한 뒤 이를 이용해 신용카드를 복제, 1억2200여만원 상당을 불법 결제한 것으로 조사됐다.

# 지난해 목포 소재 한 커피전문점에서 POS단말기에 저장된 카드거래정보(카드번호, 유효기간)가 해킹돼 카드 위조 및 현금 인출이 이뤄진 사고가 발생했다. 범인들은 POS단말기에 저장된 포인트 카드의 비밀번호를 해킹한 후 ARS를 통해 신용카드 한도 조회를 시도, 거래가 가능해지면(비밀번호가 일치하면) 고객 계좌에서 현금을 불법으로 인출했고 이와 같은 사고금액이 1억200만원에 달하는 것으로 확인됐다.

신용카드 위ㆍ변조 사고가 늘고 있지만 금융당국이 이를 막을 수 있는 직접회로(IC) 카드를 보급해 놓고 정작 이를 결제할 수 있는 단말기 보급이 미흡해 무용지물이 되고 있다.

금융감독원 집계에 따르면 2010년 53억원이던 신용카드 위변조 부정사용액은 2012년 63억원, 2013년에는 75억원으로 해마다 크게 증가하고 있다. 지난해 제3자에 의한 카드 부정사용 건수는 5만6000건이다. 이는 지난 2010년에 비해 1.8배 늘어난 수치다.

카드 부정사용 건수를 유형별로 보면 카드 위변조는 2만1000건으로 3년 전에 비해 96% 늘었으며, 카드정보 도용은 2000건으로 같은 기간 276%나 급증했다. 도난ㆍ분실도 3만건으로 68% 증가했다.

카드 부정사용이 늘고 있지만 복제 표적이 되고 있는 MS카드 결제단말기는 전체 220만대 중 절반 수준인 약 110만대(POS 34만대 포함)에 이르는 실정이다.

◇복제 표적이 된 MS카드 결제 = 마그네틱 카드는 카드 비밀번호 등 개인정보를 모두 저장하고 있는 데다 복제가 쉽다. 마그네틱 부분에 대한 최소한의 정보만 있으면 신용카드를 위변조하는 일이 가능해진다.

그럼에도 불구하고 국내에서 여전히 신용카드의 마그네틱 부분만을 이용하는 결제가 이뤄지고 있다는 점이 문제로 지적된다.

대부분의 구형 POS단말기는 마그네틱 부분만을 긁어서 결제하는 방식이다. 이에 따라 POS단말기에 결제 시 이용된 고객의 카드정보 및 결제정보가 남아 있는 경우 고객정보 유출 위험이 높다. 마그네틱 결제만 허용하는 곳에서는 정보가 유출돼 이를 악용, 신용카드를 만드는 일이 가능해지기 때문에 범죄자들의 표적이 되고 있다.

특히 주유소와 같이 고객이 보이지 않는 곳에서 결제가 이뤄지는 경우 고객은 속수무책으로 당할 수밖에 없다. 신용카드 복제에 사용하는 리더기는 일반 매장에서 회원 카드를 발급하는 데 사용하는 장비로 시중에서 누구나 쉽게 구매가 가능한 것으로 알려졌다.

소상공인연합회 관계자는 “마그네틱 카드의 보안성 취약이 심각한 실정”이라며 “주유소 직원 등이 어렵지 않게 대량의 신용카드 복제가 가능하다”고 지적했다. 이어 “금융당국은 오래전부터 MS카드 복제 사고가 발생할 때마다 IC카드 전환 계획을 발표했으나 단 한 번도 제대로 이행한 적이 없다”고 꼬집었다.

◇밴사에 의존ㆍ종합 관리 보안시스템 전무=우리나라는 10개에 달하는 신용카드 브랜드사가 경쟁하는 과정에서 신용카드사들이 신용카드 결제와 관련된 통합 고객정보 보안시스템을 구축하지 못하고 있으며 특히 신용카드 결제 관련 고객정보 보안은 밴(VAN)사에 의존하고 있다.

밴사가 가맹점 모집부터 관리까지 모든 과정을 담당하고 결제와 관련된 거래승인 및 전표매입 등 업무를 수행하면서 신용카드사 중심의 고객정보 보안시스템 구축이 어려운 상황이다.

비자, 마스터카드, 아멕스 등 국제 브랜드 카드사들은 신용카드 고객정보 보안을 위해 2006년 PCI SSC를 설립해 신용카드 고객정보 보호를 강화하고 있다.

PCI SSC는 고객정보 보안을 위해 기술 및 운영과 관련된 PCI 데이터 보안 기준 3가지를 개발ㆍ관리ㆍ교육하고 있으며 가맹점 등 다양한 신용카드 시장 참여자로 하여금 준수토록 하고 있다.

또한 가맹점에 대해 모든 신용카드사가 계약을 맺고 있는 시스템상 특정 신용카드사로 하여금 보안 관련 최종 책임을 묻기 어렵다는 지적도 나온다. 별도의 고객정보 보안 기구를 공동으로 설립하거나 유사 기구에 이를 위임해야 한다는 것이다.

정부는 올해 안에 IC카드 단말기 설치 가맹점에서의 IC카드 결제를 의무화하고 2016년부터는 전 가맹점에서 IC결제를 의무화할 계획이다.

하지만 정부의 이 같은 계획은 카드사, 밴사, 가맹점 사이에 이해관계가 복잡해 아직도 첫발을 떼지 못하고 있다. 여신금융협회와 카드업계가 사회공헌기금 1000억원을 조성해 영세 가맹점의 IC단말기 전환을 지원하려던 사업은 증여세 문제가 발생해 지지부진한 상황이다.

금융당국 관계자는 “여전법을 개정해 이르면 올해 상반기부터 밴사가 금융당국의 관리감독을 받게 된다”면서 “밴 등록제로 전환하면 밴 대리점 업무를 규정하고, 책임 소재도 분명해질 수 있는 인프라가 마련될 것”이라고 말했다.