"고객님 카드로 필리핀 마닐라 ○○쇼핑몰에서 1650달러가 결제됐습니다."
최근 서울 강남구의 한 대형마트에서 장을 보던 홍모(50)씨에게 황당한 문자가 날아왔다. 곧이어 해당 카드사에서는 "고객님의 카드가 불법 복제돼 해외에서 무단으로 사용됐으니 지급정지시키겠다"는 긴급연락이 왔다. 홍씨는 "카드사의 보상으로 금전적인 피해는 없었지만, 황당한 일을 겪고 나서부턴 불안해서 카드를 못 쓰고 있다"고 하소연했다.
홍씨처럼 자신도 모르게 복제된 신용카드가 해외에서 쓰이는 피해사례가 늘고 있다. 24일 금융감독원에 따르면, 복제카드 관련 소비자 피해금액은 2008년 36억원에서 2010년 86억원으로 늘어나는 등 현재까지 총피해금액이 222억원(지난해 9월 현재)에 이른다. 금감원 관계자는 "복제카드 피해의 90% 이상이 해외에서 발생하고 있고, 피해규모가 점점 더 커지고 있다"고 말했다.
◇대형마트가 카드복제 창구역할
복제카드의 90% 이상은 포스(POS·Point of sale) 단말기에서 새어나오는 카드 정보로 만들어지고 있다. 포스단말기란 백화점이나 대형마트 계산대에서 흔히 볼 수 있는 카드결제 단말기다. 하드디스크와 소프트웨어, 모니터를 갖춘 일종의 컴퓨터로 인터넷망과 연결돼 있다. 소비자가 카드를 쓰면 카드번호, 카드 검증번호(CVC), 유효기간 등 5~6가지 정보가 이 단말기의 고객 관리 프로그램에 고스란히 남게 된다. A대형마트 관계자는 "소비자의 카드 정보를 바탕으로 매출, 정산, 판매 관리가 가능해 고객이 많은 가맹점에서 포스단말기를 유용하게 사용한다"고 말했다. 우리나라 가맹점에는 약 20만대의 포스단말기가 깔려 있다. 반면 분식집 등 중소형 카드 가맹점에서는 카드 정보가 남지 않는 손바닥만한 카드단말기(캐트·CAT)를 쓰기 때문에 개인정보 유출 가능성이 작다.
◇보안에 맹점 있는 포스단말기
국제 해커 범죄집단들은 주로 포스단말기를 노린다. 여신금융협회 관계자는 "포스단말기는 주로 중소기업에서 만들다 보니 백신 같은 보안프로그램이 전혀 설치되지 않고 있고, 카드 정보가 암호화되지 않는 단점이 있다"고 말했다.
해커들은 포스단말기에 설치된 원격 프로그램을 통해 카드 결제망에 침투한다. 포스단말기를 깔아주는 업체에서 가맹점에 일일이 찾아가는 불편을 덜기 위해 유지 보수용 원격조정 프로그램을 깔아두는데, 대개 비밀번호를 설정하지 않거나 '1111' 같은 허술한 암호를 설정해두기 때문에 해커들이 가상 IP를 만들어 손쉽게 보안망을 뚫고 들어온다.
해커들은 또 해당 단말기에 악성코드가 담긴 광고 메일을 뿌린 뒤 사용자가 메일을 클릭하게 되면, 카드소지자의 개인정보가 자동으로 전송되게 만드는 수법도 즐겨 쓴다. '○○자리로 된 숫자들을 모두 전송하라'는 악성코드를 심어두면 원하는 카드 정보를 해커들이 이메일로 받아볼 수 있는 것이다.
◇보안프로그램 반드시 깔아야
해커들은 이렇게 빼낸 개인정보를 활용해 복제카드를 만들어 자신들이 쓰거나 제3자에게 팔아넘긴다. 이렇게 만들어진 복제카드는 국내 단속망을 피하기 위해 주로 해외에서 사용된다. 경찰대 장윤식 교수는 "복제카드를 수백장씩 만들어 스페인, 미국 등 해외에서 한 번 쓰고 버리는 식으로 활용한다"고 말했다.
금감원은 복제카드 피해를 막기 위해 2010년 말부터 포스단말기에 보안프로그램을 깔고 있는데, 현재까지 보안프로그램 장착률이 40% 선에 그치고 있다. 대형가맹점들이 업무에 지장을 초래한다는 이유로 1~2시간 정도 걸리는 프로그램 설치를 꺼리고 있기 때문이다. 금감원 관계자는 "오는 6월까지 보안 프로그램 설치를 마무리할 예정"이라며 "대형가맹점과 카드사의 적극적인 협조가 필요하다"고 말했다. 안철수연구소 방인구 컨설팅본부장은 "포스단말기를 통해 매출, 재고 같은 기업의 영업비밀도 새어나갈 수 있다"면서 보안프로그램 장착을 권유했다.