고객 편의성을 위해 '비인증 거래방식'을 유지하는 페이팔, 우버 등을 통해 지난해 국내 카드 부정결제 피해 수백건이 발생한 것으로 뒤늦게 확인됐다.
15일 씨티은행에 따르면 지난해 6월 미국 페이팔, 우버 온라인 가맹점 등에서 카드부정거래 한 유형인 BIN(Business Identification Number) 공격으로 국내 씨티 에이플러스 체크카드 가입 고객에 피해가 발생했다.
BIN 공격은 카드번호 생성프로그램으로 무작위로 카드번호를 입력, 유효한 카드번호를 파악해 무단으로 결제하는 수법이다. 소액 결제 시에는 추가 인증 절차를 진행하지 않는 페이팔, 아마존, 우버 등 해외 간편 결제 서비스에서 빈번하게 발생한다.
씨티은행 측은 해당 카드를 거래 정지시키고 재발급을 안내했다. 에이플러스 체크카드로 부정거래가 집중 발생한 574개 가맹점을 차단하고 부정거래 금액은 전액 보상 처리했다. 지난해 BIN 공격에 의해 에이플러스 체크카드로부터 발생한 피해는 1000건 미만, 3000여만원 규모다.
씨티은행 관계자는 “부정사용이 발생한 페이팔 가맹점을 모두 차단했으나 페이팔, 우버 등 전세계 온라인 가맹점에 지속 공격 시도가 있어 올해도 몇 건씩 카드부정거래가 발생하고 있다”며 “피해금액은 모든 고객에게 우선 전액 보상 후 직접적 페이팔 등으로부터 해당 금액을 회수했다”고 말했다.
이베이, 아마존 등 글로벌 전자상거래 기업은 보안 절차를 간소화한 비인증 거래 방식을 적용했다. 인증 강화 시 결제과정이 복잡해져 소비자가 해당 사이트에서 거래를 포기할 수 있기 때문이다. 이용 고객 결제 편의성을 우선으로 고려한 경영적 판단으로 비인증 거래로 부정사용이 발생한 경우 카드사에 100% 환불하고 있다.
박정은기자 jepark@etnews.com