해킹한 네이트 정보로 신용카드 부정발급

카드 비밀번호 모르는 中해커… 개인정보만 이용해 심사 통과
진짜 고객 신고로 취소됐지만 비슷한 경우 많아 피해확산 우려

지난달 26일 네이트에서 3500만 명의 개인정보를 빼간 중국 해커가 정보 유출 피해자의 신용카드 비밀번호를 모르는 상태에서 주민등록번호 등 개인정보만을 이용해 신용카드를 발급받은 것으로 드러나 파장이 예상된다. 인터넷 포털사이트의 대규모 개인정보 유출이 2차 피해로 이어질 수 있다는 우려가 사실로 확인됐다. 피해자가 카드가 발급됐다는 휴대전화 메시지를 받은 뒤 곧바로 신고해 금전적 피해를 보지는 않았지만 다른 카드회사에도 비슷한 유형의 부정 카드발급 신청이 있었던 것으로 알려져 피해 확산이 우려된다.

외환카드는 자사 카드 회원이라고 밝힌 해커가 19일 ARS센터에 전화를 걸어 신용카드 추가 발급을 신청했고, 본인 확인절차를 거쳐 카드를 발급했다가 진짜 고객의 신고로 카드발급을 취소한 사실이 있다고 25일 밝혔다. 해커는 외환카드에 전화로 카드 추가 발급 신청을 하면서 주민등록번호와 기존 카드 비밀번호를 입력하라는 요청을 받았지만 비밀번호를 잘못 입력해 발급 오류가 났다. 이후 이 해커의 전화는 자동으로 상담원에게 연결됐고, 상담원은 본인 확인을 위해 집주소, e메일, 휴대전화번호, 결제계좌 번호 등을 물었다. 해커는 네이트 e메일로 미리 확보해둔 피해자의 외환카드 사용 명세서 등을 포함한 개인정보를 이용해 답변했고 결국 약식 심사를 통과했다. 유선상으로는 비밀번호를 물어볼 수 없고, 각종 개인정보를 확인한 뒤 카드를 발급하는 제도상의 허점을 파고든 것이다.

본보 확인 결과 해커들은 외환카드뿐 아니라 다른 은행계열 및 전업 카드사들에도 여러 차례 카드 발급을 신청한 것으로 드러났다. 카드사들은 본인확인 절차 과정에서 신분증 발급일을 물었고 해커가 이에 답변하지 못하자 카드 발급을 거절했다. 하지만 일부 카드사들은 카드 명세서에 나와 있는 항목들 위주로만 본인확인을 하고 있어 해커들이 이미 카드를 발급받았을 가능성을 배제할 수 없는 상황이다. 이달 대형 전업 카드업체인 A사에 카드발급신청을 했다가 신분증 발급일을 묻는 질문에 답하지 못해 발급이 거부된 건수는 7월의 3배 수준으로 증가했다. 카드사들은 현재 해커들이 네이트 e메일에 들어온 각종 명세서를 통해 추가 확보한 개인정보로 카드 발급을 시도하는 만큼 네이트 접속 비밀번호 변경을 요청하고 나섰다.

김철중 기자 tnf@donga.com　　
홍수용 기자 legman@donga.com