외국 누리집 카드결제 안전할까

신용카드. 한겨레 자료 사진

궁금증 ‘톡’

지난 10일 오전 7시에서 10시 사이 대만 게임 판매 누리집인 ‘오리진’에서 국내 카드로 1000건 넘는 결제가 무더기로 이뤄졌다. 유출된 국내 카드 정보를 도용한 부정결제였다. 부정결제 시점에서 문제가 드러나 이번 사고로 인한 고객 피해는 제한적일 것으로 보이지만, 유출된 카드 정보의 해외 누리집 도용에 대해 앞으로도 안심할 수 있을까?

외국의 결제시스템은 한국에 비해 매우 ‘간편’하다. 그만큼 범죄 위험도 크다. 한국에 머무는 대만인 양첸하오(25)씨의 도움을 받아 문제가 된 대만 오리진 누리집에 들어가 결제를 시도해봤다. 결제 방법으로 페이팔(paypal), 신용카드, 마이카드(포인트 결제) 등 세가지 방식이 제시됐다.

이 가운데 신용카드 결제의 경우, 간단한 정보만으로도 결제가 가능했다. 카드번호와 유효기간, 카드에 적힌 카드구별번호(CSC)만 입력하면 결제가 가능했다. 본인 확인 절차는 물론, 비밀번호 입력조차 필요 없었다. 정보를 유출해 부정결제에 사용하는 쪽에서는 그만큼 적은 정보로도 범죄가 가능한 셈이다. 한 카드업계 관계자는 “외국 누리집의 경우 워낙에 결제가 쉬운 구조이기 때문에 위험성은 그만큼 높다고 볼 수 있다”고 우려했다.

금융당국은 이번 부정결제에 사용된 카드 정보가 대만 고속철도 예약시스템에서 해킹을 통해 유출됐을 가능성이 크다고 보고 있다. 김유미 금융감독원 아이티·금융정보보호단 선임국장은 “문제가 된 카드 사용자들이 공통되게 대만 고속철도 예약시스템을 이용한 적이 있다는 점에 비춰, 대만 고속철도와 여행사 등에서 카드 정보가 유출됐을 것으로 짐작하고 있다”고 말했다. 하지만 대만 고속철도 관계자는 14일 “전산 해킹은 확인된 바 없다”는 입장을 밝혔다.

이번 사고가 당장 고객 금전 피해로 연결될 가능성은 크지 않아 보인다. 카드사 부정적발거래시스템을 통해 결제 시점에서 문제가 불거졌기 때문이다. 해외 이용 카드의 경우 해외 브랜드 카드사가 국내 카드사를 통해 고객에게 대금을 청구할 때까지 시일이 걸린다. 대부분 국내 카드사는 해외 브랜드 카드사와 그사이 부정결제 대금청구를 거절할 수 있도록 계약을 맺어뒀다.

문제는 부정적발시스템이 걸러내지 못하는 부정결제도 가능하다는 점이다. 한 카드업계 관계자는 “특히 누리집에서 이뤄지는 소규모 결제의 경우, 부정사용 여부를 밝혀내기 어려울 수도 있다. 해킹이나 도용으로 인한 피해가 확실하다면 사후적으로 카드사가 100% 보상하지만, 고객이 이를 알아채고 문제제기를 해야 하는 등 문제가 복잡해질 수 있다”고 말했다. 금융당국과 카드업계는 이번 사고에서 문제가 된 카드들에 대한 모니터링을 강화해 부정사용 재발을 막을 계획이다. 김유미 선임국장은 “외국 누리집의 쉬운 결제 문제는 국내 감독당국의 영역은 아니지만 필요하다면 국제 공조를 취할 수 있다. 최소한 이번에 유출된 카드 정보가 범죄에 다시 사용되지 않도록 감독을 강화하겠다”고 밝혔다.

방준호 기자 whorun@hani.co.kr