구형 신용카드 결제단말기(POS)를 통해 약 57만 개 신용·체크카드의 번호와 유효기간이 유출된 것으로 확인됐다. 비밀번호 CVC(카드 뒷면의 숫자 3자리) 등은 유출되지 않아 금전적 피해는 아직 생기지 않았지만 1억 건 이상의 개인정보가 샜던 2014년 ‘카드사 정보유출 사태’ 이후 5년여 만에 다시 개인정보 관리에 구멍이 뚫렸다.

26일 경찰에 따르면 서울지방경찰청 지능범죄수사대는 최근 정보통신망법 위반 혐의로 이모 씨(41)를 구속 수사하다 압수수색 과정에서 휴대용저장장치(USB메모리) 1개를 확보했다. USB에는 2017년 3월 이전에 발급된 56만8000여 개의 카드 정보가 있었다. 이에 경찰청은 여신전문금융업법 위반 혐의로 7월 초 이 씨를 입건한 뒤 9일 금융감독원에 수사협조를 요청했다.

금융감독원은 해당 카드정보가 2018년 7월 이전까지는 사용이 허용됐던 구형 마그네틱(MS)방식 신용카드 결제단말기에서 새어나간 것으로 추정하고 있다. 이 씨는 앞서 2014년 4월에도 신용카드 결제단말기에 악성프로그램을 심어 신용카드 정보를 유출한 혐의로 검거된 전력이 있기 때문이다.

일단 금감원은 확인된 카드번호를 금융회사에 제공하는 등 부정사용 방지에 나섰다. 국민 신한우리 KEB하나 비씨 삼성 현대 롯데카드와 농협 씨티 전북 광주 수협 제주은행, 신협중앙회 등 15개 금융사는 부정사용방지시스템(FDS) 등을 통해 이상 징후를 발견하면 소비자에게 즉각 연락하고 카드 승인을 차단하고 있다.

아직까지 금전적 피해는 확인되지 않았다. 56만8000개의 카드 가운데 64개(0.01%)에서 약 2475만 원의 부정사용이 발생했지만 도난사건과는 무관하다는 게 금감원의 분석이다. 현재 금감원은 예방 차원에서 소비자들에게 카드 교체발급을 안내하고 있다. 금감원 관계자는 “통상 전체 카드 대비 FDS로 탐지되는 부정사용 수준이 0.02~0.03% 수준”이라며 “해당 부정사용이 이번 도난에 따른 거래라고 보기는 힘들다”고 설명했다. 금융사들은 해당 부정사용에 대해서도 소비자들에게 피해액을 모두 보상했다. 여신전문금융법에 따라 해킹이나 전산장애, 정보 유출 등 부정한 방법으로 일어난 카드 피해는 금융사가 보상해야 한다. 권민수 금감원 신용정보평가실장은 “비밀번호, CVC 등이 유출되지 않아 실물카드 위조가능성이 낮고 보안수준이 낮은 해외 사이트에서 결제시도가 이뤄지더라도 FDS를 통해 걸러낼 수 있다”라며 “단 유출된 정보가 검찰 경찰을 사칭하는 사기에 이용될 수 있으니 유의해 달라”고 말했다.

장윤정기자 yunjung@donga.com
한성희기자 chef@donga.com