안전클릭 결제창까지 모방…카드업계 대책 마련 나서
|
신용카드 회원 정보를 빼내는 범죄가 전문 해커들에 의해 기상천외한 방법으로 진화하면서 올해만 카드사 고객 500여명이 3억여원의 피해를 입었다. 해커들은 훔친 정보를 활용해 게임사이트에서 아이템을 구매 후 현금화하고 있어 카드사들이 대책 마련에 돌입했다.
18일 카드업계에 따르면 신한카드, KB국민카드, 삼성카드, 현대카드, 롯데카드, 하나SK카드, 비씨카드 등 대형 카드사 고객 500여명이 금융기관과 안심클릭을 모방한 피싱(Phishing), 안전결제(ISP) 인증서 해킹 등으로 올해만 최소 3억여원의 피해를 본 것으로 전해졌다.
이는 공식 확인된 수치만 집계한 결과로, 알려지지 않은 사례까지 모두 합치면 피해자가 1000여명을 넘을 것으로 업계는 추정하고 있다.
안심클릭은 신용카드로 인터넷을 결제할 때 공인인증서, 카드번호, 비밀번호, 유효기관 등을 입력해 거래자 자신을 인증하는 것으로 대부분 카드사가 활용한다.
지난 9월에는 안심클릭 결제창을 모방한 피싱 사고로 신한카드와 삼성카드 등 주요 카드사 고객 100여명이 5000여만원의 피해를 봤다.
해커들은 안심클릭 결제 시 카드번호 입력 후 새로운 팝업창이 떠 신용카드 번호와 유효기간을 추가로 입력하도록 하는 수법을 썼다. 입력이 끝나면 해당 정보가 고스란히 빠져나가 게임사이트 등의 결제에 악용했다.
사용자가 자신의 웹브라우저에서 정확한 웹페이지 주소를 입력해도 가짜 웹페이지에 접속돼 개인정보를 훔치는 파밍(Pharming) 수법마저 활개를 치며 100여명이 사기를 당한 것으로 알려졌다.
지난달에는 국민카드와 비씨카드의 ‘안전결제’를 사용하는 고객 190여명이 해킹을 당해 1억8000여만원의 손실을 봤다. 안전결제는 안심결제와 유사한 소액 결제시스템으로 국민카드와 비씨카드에만 있다.
이들 카드사는 사고 발생 후 한 달 동안 피해를 본 것으로 추정되는 고객에게만 전화로 알렸을 뿐 자사 홈페이지에 주의를 당부하는 안내문조차 띄우지 않아 추가 피해가 발생했을 가능성이 크다.
해커들이 방화벽이 두터운 안전결제 시스템이 아닌 고객 개인 컴퓨터의 이메일에 저장된 인증서를 해킹했거나 개인용 컴퓨터가 해킹돼 하드디스크에 저장된 인증서가 유출됐을 것으로 추정된다. 이들은 온라인 게임사이트 등에서 결제한 것으로 전해졌다.
카드사들은 해킹된 정보가 게임사이트 결제 시 주로 도용되는 점을 고려해 1회 또는 1일 승인 한도액을 줄여 추가 피해 발생을 최소화하기로 했다.
국민카드는 게임사이트에 대해 1일 4회, 1회 5만원 이내로 승인액을 제한했다. 게임사이트에서 안전결제를 할 경우 문자메시지(SMS) 통보 시스템에 가입하지 않아도 자동으로 해당 고객에게 승인 상황을 알리기로 했다. 비씨카드도 국민카드와 같은 조치를 했다.
두 회사 모두 지난 7일부터 게임사이트에서 안전결제를 할 때 결제 금액에 상관없이 공인인증서 승인을 거쳐야 이뤄질 수 있도록 했다.
김정현 기자
news@ejanews.co.kr