현금자동입출금기(ATM) 악성코드로 의심되는 거래가 신용카드뿐 아니라 은행 직불카드, 증권사 수시입출금통장(CMA) 카드 거래에서도 발생할 가능성이 높아졌다. 실제 부정사용이 발생한 씨티카드도 체크카드였다. 시중은행을 비롯 증권사가 발행한 카드 오염 여부가 향후 쟁점이 될 전망이다.
10일 금융권에 따르면 고객 정보 유출 의심이 되는 거래가 발생한 금융사는 약 40여곳에 이르는 것으로 확인됐다. <본지 3월 19일자 1면 참조, 관련기사 18면>
해당 밴사는 이런 사실을 미리 분석해 해당 금융사에 보고했지만 씨티카드를 포함한 일부 금융사는 거래정지 등 적절한 조치를 취하지 않은 것으로 드러났다.
본지가 입수한 '고객정보 유출 의심 협조 요청 공문'에 따르면 거래 내역을 통보받은 금융사만 40곳 이상이다. 고객 정보에 대한 ATM 유출이 의심되자 ATM기를 운영하던 밴사가 고객 거래 내역을 분석, 이들 금융사에 통보했다.
현재까지 씨티카드 외에 부정사고 징후가 발생된 곳은 없지만 이번 ATM 악성코드 감염은 신용카드 고객 외에 은행, 증권사도 해당될 수 있다는 의미다. 특히 증권사 수시입출금통장(CMA), 체크카드 등도 거래가 있던 것으로 확인됐다.
공문을 받은 금융사는 KB국민은행, IBK기업은행 등 시중은행은 물론 유안타 증권 등 증권사, 카드사, 저축은행까지 포함해 약 40여곳이다.
상당수 금융사는 정보유출 의심거래가 극소수인 곳이 많았다. 하지만 오염된 ATM으로 신용카드 외 직불카드와 CMA카드까지 거래된 사실이 확인되면서 고객의 추가 피해 가능성도 배제할 수 없다.
해당 밴사가 발송한 세부 의심 거래 내역은 아직 공개되지 않았다. 주요 금융사의 거래내역 건수를 추정한 결과 3만건 이상으로 예상된다.
문제는 이후 금융사별로 보안 지침이 잘 지켜지지 않았다는 점이다. 신용카드사는 즉각 재발급과 비밀번호 변경 등을 마쳤다. 그러나 일부 증권사는 거래 내역 자체가 적어서 점검을 제대로 하지 않은 것으로 나타났다.
금융보안원 관계자는 “금융 당국 요청에 따라 은행 ATM 점검 지원에 나선 건 맞지만 증권사는 현장 점검을 하지 않았다”고 전했다.
현재는 보안 점검을 끝냈지만 오염 여부 결과는 금융감독원에만 통보한 것으로 알려졌다.
정부 차원 전수 조사 필요성이 제기됐지만 보안 인력 부족과 시간 상 문제로 금감원이 은행에 자체 보안 조사만 요청하고, 그 결과만 통보받았다.
이에 대해 금융감독원 관계자는 “은행뿐만 아니라 거래 내역이 의심되는 금융사는 모두 조사하고 있다. 증권사도 포함됐다”면서 “고객에 대한 카드 재발급 조치를 하지 않은 씨티카드는 면밀히 조사한 뒤 절차에 따라 징계를 할 것”이라고 말했다.
길재식 금융산업 전문기자 osolgil@etnews.com
