김동규 한양대 융합전자공학부 교수

최근 카드 3사에서 1억명 이상의 회원정보가 유출된 사건으로 인하여 국민들은 큰 충격을 받았고 카드사용에 대한 불신으로 이어졌다. 금융감독원의 발표에 의하면 2월3일까지의 카드 해지신청이 242만건 및 재발급신청이 406만건을 넘었고, 정보 유출 피해에 대한 개인 및 집단 손해배상 청구소송도 계속 이어져 현재 총건수로 4900건이 접수되었다. 해당 카드 3사의 입장에서 보면, 올해 순이익이 40%이상 감소할 것으로 예상되고 손해배상 청구소송에 의한 배상액도 눈덩이처럼 커질 것으로 전망된다.
 
현시점에서 가장 중요한 것은 정보 유출사고로 인한 2차 피해이다. 먼저, 유출된 정보를 이용하여 더 정교해진 피싱, 파밍, 스미싱 등의 공격을 막아야 한다. 이는 금융당국도 중점적으로 대책을 발표하고 대응방법을 홍보하고 있다. 더불어 인터넷결제 및 모바일 결제와 같은 비대면 거래는 카드번호와 유효기간 및 CVC(Card Verification Code)만을 이용하여 결제되므로 위험할 수 있다. 이는 안전한 결제방식을 새롭게 도입하는 등의 특단의 조치가 필요한 상황이다. 가장 많이 사용되는 것은 가맹점에서 직접 결제되는 대면거래이다. 필자가 느끼기에는 대면거래도 위 두 공격만큼 2차 피해의 위험성이 높은데 비하여 아직 대책이 발표되지 않는 것 같다.

현재 국내에서는 MS(Magnetic Stripe) 카드와 IC 카드로 모두 사용가능한 신용카드가 보급되고 있으나 실제 결제는 대부분 MS 카드를 이용하여 결제되고 있는 실정이다. MS 카드에 기록되는 정보는 카드번호, 유효기간, 서비스코드, PVV(Pin Verification Value), CVC 등이다. PVV는 일종의 비밀번호와 같은 숫자로 카드의 정당한 사용자임을 검증하는 방식으로 사용된다. 국내에서는 카드 결제시 비밀번호 대신 싸인에 의하여 사용자를 검증하므로, 이번에 유출된 정보는 MS 카드에 기록되는 모든 정보가 유출되었다고 볼 수 있다. 실제로 국외에서는 MS 카드를 복제한 카드로 결제사고가 발생하는 사례가 꾸준히 발생하고 있어, 이에 대한 대책이 시급하다.

금융당국은 일단 현금카드에 대해서는 올해 2월부터 MS 카드를 사용하는 현금인출 서비스는 전면 중단하였다. 신용카드에 대해서는 2015년까지 MS 카드를 허용하고 2016년부터는 IC 카드만으로 결제하도록 방침을 세운 바 있으나, 지켜질 수 있을 지는 의문이다.

IC 카드로 신용카드를 결제하는 위해서는 결제단말기가 IC 카드 사용을 지원해야 한다. 현재 보급된 결제단말기는 일반 가맹점이나 음식점에서 주로 볼 수 있는 CAT 단말기와 대형마트나 편의점에서 접할 수 있는 POS 단말기로 나눌 수 있다. 현재 CAT 단말기는 IC 카드가 삽입가능한 단말기로 90%이상 보급되어 있으며, 대부분 금융결제를 위한 안전성 인증을 획득한 제품이다.

POS 단말기는 개별 상품의 판매시, 재고관리 등의 통합 관리가 자동으로 수행되는 시스템을 지원하는 단말기이다. 이 POS 단말기는 아직 IC 카드의 사용을 지원하지 않는다. 또한, 안전성을 위한 인증의 확보도 미비하여 결제시 카드번호의 유출과 같은 해킹에 노출될 수가 있다. 현재 POS 단말기의 보급 비율은 30~40%정도이나 결제금액의 비율은 60% 정도로 더 높다.

카드 정보 유출 사고로 인한 2차 피해를 막기 위한 대책으로 MS 카드의 사용을 전면 중단하는 시기를 당길 필요가 있다. 이를 위해서는 IC 카드사용이 가능한 POS 단말기의 보급을 서두르고, 안전성 확보를 위한 단말기 인증을 의무화해야 한다. 2차 피해를 막기 위한 법과 제도를 담당하는 금융당국과 유출 사고에 책임이 있는 신용카드사의 노력이 절실한 시점이다.

기사 원문 : http://www.dt.co.kr/contents.html?article_no=2014021302012251607025