태국에서 씨티카드 고객 계좌를 통해 수십 건의 현금이 부정 인출되는 사건이 발생했다. 지난달 발생한 ATM악성코드 의심거래와 관련 금융당국이 조사를 벌이는 과정에서 발생해 충격을 준다.
다른 카드사들과 달리 씨티카드는 정보 유출이 의심되는 카드의 거래를 정지시키라는 금융당국 지침을 따르지 않은 것으로 나타났다.
지난 8∼9일 이틀간 태국에서 씨티카드 고객 28명의 계좌에서 돈이 인출됐다. 액수는 총 1000만원대로 많지 않지만, 악성코드에 따른 고객 정보가 실제 부정사고로 이어진 사례다.
해커들은 전산망에 악성 코드를 설치한 뒤 제어서버(C&C)로 카드정보와 카드 소유자 개인정보, 은행 계좌번호 등을 빼냈다.
문제는 씨티카드가 거래정보 유출이 의심되는 카드정보와 고객 명단 등을 받고도 재발급 등 후속 조치를 하지 않았다는 점이다.
지난달 15일 해당 ATM을 운영하는 밴사는 각 금융사에게 세부 거래내역서와 경과 보고서를 공문으로 발송했다.
2월 20일부터 3월 11일까지 거래내역이다. 40여 곳이 넘는 금융사에 고객 정보 유출 건수와 세부 정보를 보낸 것으로 확인했다.
이 후 주요 카드사와 시중 은행은 이 거래내역을 바탕으로 해당 카드를 정지하고 재발급과 비밀번호 변경 등의 후속조치를 했다.
씨티카드 측은 “타 은행과 달리 해외 체류 시 씨티카드로 ATM현금 인출하는 고객이 많아 카드거래정지를 하지 않았다”고 말했다. 이어 “고객에게 피해가 가지 않도록 이번 주 내로 모두 보상하겠다”고 설명했다.
이에 대해 금융보안업계는 황당한 처사라고 지적했다. 해당 의심거래내역까지 파악된 상황에서 지급정지 등의 조치를 취하지 않은 것은 명백한 금융사 관리 부실이라고 지적했다.
금융감독원 관계자도 “해당 사실을 파악 중이지만, (거래정지 조치 등) 적법한 조치가 이뤄지지 않았다면 법적으로 책임을 물을 것”이라고 말했다.
일각에서는 이번 사안이 외국계 금융사의 안일한 보안 불감증과 함께 ATM이나 POS 등 결제단말기에 대한 구체적인 책임소재와 법적 가이드라인 없어서 일어났다고 입을 모았다.
한 금융보안 전문가는 “여신전문금융업법은 물론 전자금융거래법 어디에도 ATM의 세부 단말기 보안 규정 자체가 없다”며 “은행 등은 자체 규정을 통해 이를 운영하고 있지만, ATM제조사와 밴사는 운영체계(OS), 보안기기에 대한 구체적인 가이드라인이 없어 책임소재도 명확치 않다”고 설명했다.
ATM을 운영하는 밴사도 억울하긴 마찬가지다.
한 대형 밴사 관계자는 “ATM 운영사는 거래 정보를 보유하고 있지도 않고 사고가 터져도 ATM 망분리를 해야 하는 주체인지도 명확치 않다”며 정확한 법적 가이드가 필요하다고 주장했다.
길재식 금융산업 전문기자 osolgil@etnews.com
