해킹으로 약 24만여건의 금융정보가 유출된 청호이지캐쉬 금융자동화기기(ATM) 관리감독을 IBK기업은행이 맡는다. ATM 관리대행 사업을 하고 있는 노틸러스효성, 한국전자금융 등 국내 CD밴사업자 대상으로 '은행 지정 관리제'가 도입된다.
26일 금융당국과 금융권에 따르면 국내 대형은행이 편의점, 지하철 등 ATM을 운영중인 CD밴사업자의 관리감독을 맡는다.
최근 청호이지캐쉬의 정보 유출 등으로 밴사가 운영중인 ATM 관리 허술이 도마위에 오르자, 금융당국이 은행과 CD밴사간 '짝짓기' 체제를 도입해 관리감독 강화에 나섰다.
금감원 관계자는 “CD밴사에 대한 관리감독 은행을 모두 지정 완료한 상황”이라며 “최근 정보 유출 등으로 피해가 발생한 청호이지캐쉬는 기업은행이 관리하게 될 것”이라고 말했다.
그동안 CD밴사업자가 운영하는 ATM은 별도 규정 등이 없어 관리감독 사각지대에 놓여있었다. 신용정보법과 전자금융거래법에도 이들 CD밴사업자는 수탁업자와 보조업자로 분류돼 금융기관을 통해서 관리하도록 돼 있다.
금융당국은 IT자율보안체제를 강화하되, 소비자 금융 피해가 발생한 만큼 이들 관리를 금융사가 책임지는 방향으로 결론내렸다. CD나 ATM 이용자가 대부분 은행, 카드 거래 고객이기 때문에 금융사가 현장 관리를 해야한다는 것이다.
CD밴 사업자 관리는 국내 7개 대형은행이 맡게 되며, 금융사고 등이 발생할 경우 금융사에게도 책임을 묻는 '연좌제'가 도입될 전망이다.
은행은 앞으로 CD밴 사업자가 운영하는 ATM 관리와 체크리스트 등을 강화하고, 별도 약관 등을 통해 보다 세분화한 감독에 나설 계획이다.
CD밴 업계는 청호이지캐쉬 정보유출 이후, 보다 세밀한 관리감독이 필요하다는 입장이지만, 별도 보안 인증이나 단말기 규정이 없어 제도적 가이드라인을 만드는게 우선이라고 지적했다.
실제 청호이지캐쉬 관계자는 “ATM에 남아있는 개인정보를 어떻게 관리해야 하는지, ATM단말기에 대한 보안 규정 등이 있었다면 이 같은 정보유출 사태를 막을 수 있었다”며 “금융당국에 건의를 수차례 했지만 지켜지지 않았다”고 설명했다.
실제 카드 결제 단말기 등은 보안 인증 등을 받아야 하지만 CD밴사가 운영중인 ATM기는 별도 단말기 인증 체계가 없다. 오히려 해외에 수출되는 ATM기기에 대해서는 별도 보안 단말 인증 등을 받아야 한다.
이와 관련 금융당국 관계자는 “보안위협 적시 대응을 위해 은행권과 다양한 보안 강화 대책을 강구 중”이라며 “망 분리나 이상금융거래탐지시스템(FDS) 고도화 작업 등을 병행해 고객 정보 유출 등을 선제 대응할 수 있는 환경을 만들겠다”고 설명했다.
한편 경찰과 금융당국에 따르면 청호이지캐쉬 ATM 해킹으로 유출된 금융정보는 23만8073건으로 확인됐다. 이를 이용해 만든 복제카드로 국내외 현금인출 8833만원, 각종 대금결제 1092만원, 고속도로 하이패스 충전 339만원 등 1억264만원의 피해가 발생한 것으로 추산된다.
현재 금융사는 피해금액을 우선 변제하고, 청호이지캐쉬에 대해 구상권 청구에 돌입할 계획이다.
길재식 금융산업 전문기자 osolgil@etnews.com
