문제없다더니…신한 앱카드도 뚫렸다

경찰, 20명 명의도용사실 확인
신한 “피해확인 안돼 신중했을뿐”

신한카드가 기존의 해명과 달리 경찰 수사 이전에도 앱카드(애플리케이션형 모바일카드) 명의도용 사건에 얽힌 이상거래 흔적을 알고 있었던 것으로 드러났다.

금융감독원 관계자는 15일 “경찰의 압수수색 전에도 이상거래 10여건 정도가 포착됐다는 보고를 받았다”고 말했다. 신한카드는 지난달 30일 경찰의 압수수색 이후 <한겨레>와의 통화에서 “경찰 수사를 지켜봐야겠지만 현재까지 신한 앱카드에서는 특별한 문제를 발견하지 못했다”고 설명한 바 있다.

13일 서울지방경찰청 사이버수사대는 삼성카드 앱카드에서 명의도용을 저지른 사용자 아이피(IP) 주소를 추적한 결과 신한카드 앱카드에서도 20명의 명의가 도용돼 50여건의 결제승인이 이뤄졌음을 확인했다고 밝혔다. 현재까지 파악된 피해금액은 800만원 정도다.

지난달 11일 삼성카드 앱카드 명의도용 사건이 알려진 뒤 금감원은 비슷한 앱카드 인증방식을 사용하는 카드사 임직원을 불러모아 피해 사실 확인을 주문했다. 금감원 관계자는 “신한카드의 경우 삼성 앱카드와 완전히 같은 방식의 인증을 사용하는 만큼 전방위적으로 문제를 확인해보라고 지시했다. 아이피 주소를 통한 추적은 경찰 수사 이후에 가능했지만 그전에 신한카드가 다른 경로로 살펴봤을 때도 이상거래 징후가 나타났다”고 말했다. 지난달 29일 경찰이 압수수색에 나서기 이전에 신한카드가 이미 자사 앱카드 사고를 짐작하고 있었다는 의미다. 이에 대해 신한카드는 “앱카드와 관련한 고객의 이의 신청이 있어 금감원에 보고했지만 실제 피해가 확인되지 않은 상황이라 신중하게 이야기할 수밖에 없었다. 경찰 수사 전까지는 피해 사실 여부를 명확히 알 수 없어 신중을 기했다”고 해명했다.

스마트폰 애플리케이션을 통해 결제하는 앱카드는 처음 본인인증을 거치면 이후부터는 인증 과정에서 설정하는 비밀번호만으로도 거래가 가능하다. 본인인증 방법에는 실물카드 방법(카드번호와 시브이시 값을 넣는 방법), 공인인증서 방법, 스마트아이디 방법 등이 있는데 문제가 된 삼성카드와 신한카드는 공인인증서나 실물카드 방법 둘 중에 하나를 택해서 본인인증이 가능했다. 그 때문에 이번처럼 스미싱을 통해 공인인증서가 유출되고 나면 실물카드가 없어도 내 카드처럼 사용이 가능했다. 삼성 앱카드 문제가 불거진 뒤 카드사들은 앱카드 인증 과정에서 공인인증서 방법을 폐기했다.

방준호 기자 whorun@hani.co.kr