57만 개 신용·체크카드 정보 또 털렸다…개인정보 관리 ‘구멍’

구형 신용카드 결제단말기(POS)를 통해 57만 개에 이르는 신용카드와 체크카드의 번호와 유효기간이 유출된 것으로 확인됐다. 비밀번호 CVC(카드 뒷면의 숫자 3자리) 주민번호 등은 유출되지 않아 금전적 피해는 아직 생기지 않았지만 1억 건 이상의 개인정보가 샜던 2014년 ‘카드사 정보유출 사태’ 이후 5년여 만에 다시 개인정보 관리에 구멍이 뚫렸다.

26일 경찰에 따르면 서울지방경찰청은 최근 정보통신망법 위반 혐의로 이모 씨(41)를 구속 수사하다 압수수색 과정에서 휴대용저장장치(USB메모리) 1개를 확보했다. 이 USB에는 56만8000여 개의 카드 정보가 있었다. 이에 경찰청은 9일 금융감독원에 수사협조를 요청했다.

금감원은 해당 카드정보가 2018년 7월 이전까지는 사용이 허용됐던 구형 마그네틱(MS)방식 신용카드 결제단말기에서 새어 나간 것으로 추정하고 있다. 이 씨가 앞서 2014년 4월에도 신용카드 결제단말기에 악성프로그램을 심어 신용카드 정보를 유출한 혐의로 검거된 전력이 있기 때문이다. 정보가 새나간 카드가 모두 2017년 3월 이전 발급된 점을 감안하면 범행이 2017년 3월경 이뤄졌을 가능성이 높다고 분석한다.

일단 금감원은 확인된 카드번호를 금융회사에 제공하는 등 부정 사용 방지에 나섰다. 국민 신한우리 KEB하나 비씨 삼성 현대 롯데카드와 농협 씨티 전북 광주 수협 제주은행, 신협중앙회 등 15개 금융사는 부정사용방지시스템(FDS) 등을 통해 이상 징후를 발견하면 소비자에게 즉각 연락하고 카드 승인을 차단하고 있다.

아직까지 금전적 피해는 확인되지 않았다. 56만8000여 개의 카드 가운데 64개(0.01%)에서 약 2475만 원의 부정 사용이 발생했지만 도난 사건과는 무관하다는 게 금감원의 분석이다. 금감원 관계자는 “전체 카드 대비 FDS로 탐지되는 부정 사용 수준이 0.02~0.03% 수준”이라며 “해당 부정 사용이 이번 도난에 따른 거래라고 보기는 힘들다”고 설명했다. 금융사들은 소비자들에게 해당 피해액을 모두 보상했다. 여신전문금융법에 따라 해킹이나 전산 장애, 정보 유출 등 부정한 방법으로 일어난 카드 피해는 금융사가 보상해야 한다.

하지만 소비자들의 불안감은 커지고 있다. 범행이 뒤늦게 밝혀진 만큼 이미 이 씨가 카드정보가 팔아넘긴 경우 ‘2차 피해’가 발생할 수 있기 때문이다. 현재 금융사들은 해당 카드를 소지한 고객들에게 정보유출 사실을 안내하고 재발급을 권유하고 있다. 권민수 금감원 신용정보평가실장은 “실물카드 위조 가능성이 낮고 결제 시도가 이뤄지더라도 FDS를 통해 걸러낼 수 있다”며 “단, 유출된 정보가 검찰 경찰을 사칭하는 사기에 이용될 수 있으니 유의해 달라”고 말했다.

장윤정기자 yunjung@donga.com
한성희기자 chef@donga.com