삼성카드 앱카드 명의도용…300건 6천만원 피해

첫 사고…보안취약 우려 현실로
스미싱 통해 파악한 개인정보로
앱카드 신청해 게임사이트 사용

최근 사용이 늘고 있는 신용카드 앱카드(애플리케이션 모바일카드)에서 처음으로 금융 사고가 발생했다. 11일 삼성카드는 일부 게임 사이트에서 앱카드를 명의 도용해 사용한 경우 300건을 포착하고 지난 8일 금융당국과 경찰에 신고했다고 밝혔다. 피해 금액은 6000만원에 이른다. 앱카드는 스마트폰 애플리케이션을 이용해 신용카드 결제를 할 수 있는 서비스다. 결제할 때 생성되는 바코드 혹은 정보무늬(QR코드)를 찍거나 근거리무선통신(NFC) 기능이 탑재된 스마트폰으로 직접 찍는 방식으로 온·오프라인 가맹점에서 결제할 수 있다.

삼성카드는 자체 조사를 통해 이번 사고가 스미싱과 연계된 것으로 파악했다고 밝혔다. 스미싱은 무작위로 피해자들에게 문자메시지를 보낸 뒤 문자에 포함된 인터넷주소(URL)로 접속한 피해자의 개인정보를 갈취하는 수법이다. 삼성카드에 따르면 스미싱 일당은 이런 방식으로 삼성카드 이용자 53명의 주민번호와 전화번호를 알아내고 앱카드 가입 때 반드시 필요한 인증번호 알림 문자도 본인들의 휴대전화로 들어오게 만들었다. 이 정보를 이용해 피해자들의 명의로 삼성카드 앱카드를 신청했다. 이렇게 신청된 앱카드는 현재까지 게임 사이트 11곳에서 사용된 것으로 추정된다. 스미싱 일당은 이들 사이트에서 앱카드로 결제하고 현금을 환급받는 방법으로 6000만원을 가로챘다.

삼성카드는 농협은행과 케이비(KB)국민·롯데·신한·현대카드와 스마트폰 앱카드를 공동 개발해 지난해 9월부터 상용화했다. 한국은행 자료를 보면, 상용화 석달 만에 하루 사용액이 95억여원에 이를 정도로 앱카드 사용은 가파르게 늘었다. 그동안에도 취약한 보안 문제에 대해 우려가 있었지만 실제로 사고가 발생한 것은 이번이 처음이다.

삼성카드 관계자는 “아이폰 사용자들 사이에서만 피해가 발생한 것으로 보인다. 피해를 확인한 뒤 아이폰의 앱카드 가입 인증 절차를 강화시켰다. 고객에게 주의 메시지를 보내는 한편 문제가 된 사이트 11곳에 대해서는 인증 제한 조치를 해놓은 상태다. 피해자들에게는 보상할 계획”이라고 말했다. 금융감독원은 12일 카드회사 임원들을 소집해 비슷한 피해가 발생하지 않았는지 점검에 나설 계획이다. 방준호 기자 whorun@hani.co.kr