[긴급좌담회]카드위조 막을 길 없나

　연일 재난에 버금가는 사고가 터지면서 온 나라를 들썩이게 하고 있다. 지난주 ‘조직적’인 카드 위변조 범죄사고가 처음 적발된 데 이어 주말에는 국가 기간시설인 인터넷이 마비되는 사태까지 불거졌다. 두 사건의 공통점은 무엇일까. 아무리 강조해도 지나치지 않은 ‘유비무환’ 자세의 실종 탓이다. 마그네틱카드의 경우 지난 수십년간 위변조의 가능성이 누차 지적돼 왔고 첨단 신종 바이러스의 위험성도 이미 경고를 받은 터다.

　본지는 현금카드 위조범죄가 우리나라를 향후 금융위험국으로 몰고 갈 수 있는 중대한 사안이라는 점에서 27일 관계 전문가들을 초청, 긴급좌담회를 개최했다. 전문가들은 이같은 범죄사고를 방지할 기술적 대안이 결국 IC카드밖에 없다는 데 입을 모았고, 범죄차단을 위한 법·제도적 장치와 금융기관 종사자들의 고객 정보보호 마인드, 사용자들의 보안의식 등을 함께 촉구했다. 이번 기회에 금융용 카드를 이용한 보안사고의 원인과 근본적인 처방을 내놔야 한다는 목소리였다. 이날 간담회는 한국전자지불포럼 조영휴 사무국장의 사회로 고려대 정보보호대학원 이동훈 교수, 한국전자통신연구원(ETRI) 정보보호연구본부 정교일 박사, 비자코리아 정도영 이사, 한국소비자보호원 이기헌 팀장, 스마트카드연구소 김운 사장 등이 참석했다. 간담회의 토론내용을 요약한다.

　편집자

　

　<참석자>

　이동훈 고려대 정보보호대학원 교수

　정교일 한국전자통신연구원(ETRI) 정보보호연구본부 박사

　정도영 비자코리아 이사

　이기헌 한국소비자보호원 팀장

　김운 스마트카드연구소 사장

　조영휴 한국전자지불포럼 사무국장(사회)

　

　◇사회=자기띠 방식의 현금·신용카드 위변조 사고는 솔직히 올 것이 왔다는 느낌이다. 현재까지 알려진 바로는 농협·우리·부산·광주 등 4곳의 금융기관에 불과하지만 알려지지 않은 사고까지 포함하면 어느 정도일지 예측하기 어렵다. 신용카드는 접수되지 않은 위변조 사용금액이 연간 4000억원에 이른다는 집계도 나온다. 과연 해외에서는 이런 유형의 카드 범죄사고가 어느 정도고 어떻게 대처하는지 먼저 살펴봤으면 한다.

　◇정도영(비자코리아 이사)=결론부터 말하면 해외 선진국들은 카드 위변조 범죄 사고에 혹독하게 당해왔다고 볼 수 있다. 이는 무엇보다 현금·신용카드의 주종 매체인 마그네틱카드가 이미 오래전부터 기술적 한계에 다다랐기 때문으로 볼 수 있다. 초기 태동기까지 포함하면 마그네틱카드는 무려 50년 가까운 역사다. 그만큼 범죄기술도 발전했다는 얘기다. 이번에 국내에서 적발된 범죄 유형보다 지능적인 소위 ‘스키밍’ 기술의 경우 범죄장비가 100달러에 불과할 정도다. 이는 유럽 각국이 마그네틱카드를 접고 일찌감치 IC카드에 눈을 떴던 이유다. 프랑스의 경우 지난 89년 마그네틱카드를 IC카드로 전환하기 시작할 당시 연간 카드 거래액의 0.125%가 위변조카드 사용분이었다. 그러던 것이 지난 98년에는 0.019%로 크게 줄었다. 카드 매체가 마그네틱에서 IC칩으로 바뀐 뒤 10년만에 무려 10분의 1 이상 사고율을 감소시킨 셈이다. 비자인터내셔널은 지난 90년대부터 IC카드 전환계획을 서둘러왔다. 영국과 프랑스가 오는 2005년까지, 일본·대만이 2006년까지 IC카드 전환을 마무리할 예정이고 2008년까지는 비자의 전세계 카드를 바꾸기로 했다. 다만 우려스런 바는 당장 해외 마그네틱카드 범죄단이 한국의 취약성을 노려 대거 유입되지 않을까 하는 점이다. 한국도 더욱 다급하게 IC카드 환경으로 전환해야 하는 배경이다.

　◇사회=해외 각국이 카드 위변조 사고를 막기 위해 IC카드를 도입하는 데는 그만한 이유가 있을텐데, 과연 마그네틱카드와 구별되는 장점은 무엇인가.

　◇이동훈(고려대 정보보호대학원 교수)=자기띠카드라는 현행 저장매체, 그 자체가 문제다. 현행 자기띠 방식 카드는 비밀번호와 계좌번호만 알면 손쉽게 위조할 수 있다. 일종의 암호기술도 적용되곤 있지만 저장용량의 한계탓에 간단히 노출될 수 있다. 또 하나 마그네틱카드는 단말기에서 금융기관 주전산시스템까지 온라인으로 정보가 처리돼 그 과정에서 통신망 침해 등을 통해서도 충분히 개인정보를 빼낼 수 있다. 한마디로 온라인 인증방식이기 때문이다. 이밖에 마그네틱카드는 금융기관 주전산시스템에 방대한 양의 개인정보를 보유하고 있어야 한다. 직원들에 의한 정보유출 우려도 그만큼 높다는 뜻이다. 결국 기술적인 특성을 고려할 때 마그네틱카드라는 매체는 IC카드로 바뀌어야 한다. IC카드 또한 위조가 전혀 불가능한 것은 아니지만 그 비용이 더 크다. 또한 사용자 인증도 단말기와 IC카드가 지능형 통신을 통해 해결한다는 점에서 네트워크상의 해킹이나 금융기관 직원들에 의한 정보유출을 막을 수 있다.

　◇사회=실제로 이같은 범죄유형에 의한 피해사례가 접수된 적이 있나.

　◇이기헌(한국소비자보호원 팀장)=2001년 신용카드 관련 피해구제 접수는 801건으로 전년대비 28.2% 증가했다. 이 가운데 주목해야 할 피해유형은 분실·도난 사실이 없는 데도 사용하지 않은 이용대금 청구가 103건(12.9%)에 달하는 대목이다. 사고 원인은 알려지지 않았지만 최근 카드 위변조 사고와의 관련성을 유추할 수 있다. 사고 유형에는 사용자들의 문제도 있었지만 금융기관 직원들의 안이한 태도도 지적받아 마땅하다. 직원들이 제3자에게 고객정보를 제공해 상인들에게 유포됐던 사례나, 고객의 동의없이 예금을 무단인출하는 행위도 잦다. 이번 사고에서도 결국 금융기관 내부직원들이 개입해 범죄의 결정적인 단서를 제공했다. 금융기관 직원들의 해이한 업무태도는 잊어버릴만 하면 간간이 터지곤 했다. 이제 개인의 문제로만 치부할 수 없다. 금융권 역시 무형의 상품과 서비스를 제공하는 사업자라는 측면에서 양질의 재화를 생산할 책임이 있다. 보안사고는 결국 심각한 결함을 가진 ‘불량품’을 양산한다는 점을 명심해야 한다. 금융기관들은 지금부터라도 고객 정보보호를 위한 내부투자와 교육을 강화해야 한다. 그동안 혹독한 구조조정을 거치면서 업무 효율화를 이뤘을지 몰라도 기초적인 고객서비스는 미흡하다. 제도적 차원에서도 이번 기회에 카드고객의 정보관리에 관한 가이드라인을 제정해 시행할 필요가 있다.

　◇이동훈=금융기관들이 전문인력 확보에 소홀하다는 점도 같은 맥락에서 거론할 수 있다. 지금까지 금융권에서 전문인력을 채용한 사례를 찾아보기 힘들다. 대부분 타 업무에 종사하던 전환인력들이다. 결국 금융권 내부에 정보보호 전문인력 확보의 의지가 없다는 점을 부인하기 어렵다.

　◇이기헌=최근 금융권에서 마케팅 수단으로 활용하기 위해 고객정보를 너무 과다하게 요구하고 있는 것도 문제점이다. 이른바 고객관계관리(CRM) 마케팅을 하기 위함인데 그만큼 정보 유출의 가능성도 크다. 신규 서비스 등록시 최소 정보요건 등을 명시할 필요도 있다.

　◇사회=카드 도용사고를 둘러싼 여러가지 문제점을 짚었다. 기술적 대안으로 거론되는 IC카드와 기타 다양한 보완기술은 어디까지 왔는가.

　◇정교일(ETRI 정보보호본부 박사)=궁극적으로는 IC카드로 가야 한다. 다만 막대한 사회적 비용과 예기치 않은 문제점이 있을 수 있어 마그네틱카드의 단기적인 보완기술도 적극 채택해야 한다. 쉽게 도입할 수 있는 기술로는 현행 마그네틱 카드에 사진·바코드를 부착하거나 워터마킹·생체인식기술 등을 적용할 수 있다. 그러나 완벽한 보안성을 지니기 위해서는 IC카드가 현실적인 대안이고 여기에 생체인식·사진·공인인증서 등 기타 보안정보도 수록할 수 있다. 다만 지금까지 국내 IC카드 환경을 살펴보면 인프라 투자보다는 서비스 투자에 치중했던 면이 적지 않다. 이제라도 칩 등 원천기술 개발과 카드단말기 등 인프라 보급에 눈을 떠야 한다. 또 IC카드 도입과 관련해 적합한 기술평가 체계도 요구된다.

　◇사회=그러나 정책당국과 금융기관에서는 IC카드 도입에 따른 난제로 막대한 비용부담을 들고 있다. 가장 현실적인 문제가 아닐 수 없다. 대안으로 제시되는 IC카드 환경을 위해서는 과연 어느 정도의 비용이 소요되는가.

　◇김운(스마트카드연구소 사장)=가격도 과하게 포장된 측면이 없지 않다. 현재 비자인터내셔널 등에서 인증받은 금융용 IC카드는 1000∼1만원 선이다. 현재 마그네틱카드가 300원 안팎인 점을 감안하면 그리 부담스런 수준은 아니다. 특히 최근 기술이 발전하면서 1년반을 주기로 카드 가격은 절반 이하로 떨어지는 반면, 성능은 배 가까이 높아지고 있다. 카드 단말기의 경우도 PC용 간이단말기가 싸게는 대당 7000원에 불과하다. 가맹점 단말기는 현재 보급된 단말기에 IC카드용 장치만 추가하면 된다. 결국 의지가 있다면 장기적인 플랜을 통해 효율적으로 도입할 수 있다. IC카드 업계의 기술수준도 해외와 비교해 결코 뒤지지 않는다. 금융권에 당부하고 싶은 것은 막연한 비용부담 때문에 도입자체를 기피하지 말고 다양한 시도를 해야 한다는 주문이다. 저가격대도 있고 최근에는 이동통신사업자들이 선보이고 있는 휴대폰 기반의 IC카드 서비스도 나오고 있다. 다음으로는 정책당국과 소비자도 스스로 환경변화에 적응할 수 있도록 적절한 교육 및 홍보 프로그램이 마련돼야 한다. 우리나라에서 마그네틱 신용카드가 정착되는 데 10년 이상 걸렸다는 점에서 IC카드가 도입된다해도 사용자 교육에 대한 각별한 관심이 요구된다.

　◇사회=사고가 불거진 지금에서야 금융기관이나 정책당국도 다각적인 대책을 마련하고 있다. 서비스 주체인 금융기관들의 마인드 전환과 관련한 조언을 해달라.

　◇이동훈=정보보호 시장을 보면 국내 금융기관들의 보안의식을 알 수 있다. 지금까지 사례를 보면 경기가 좋을 때는 정보보호 시장도 호황이지만 경기가 나빠지면 같이 위축된다. 즉 돈이 남아돌아야 투자하는 분야가 정보보호라는 인식이 팽배한 것이다. 최근 일련의 사건을 기화로 평소 준비하는 자세로 지속적인 투자가 필요하다.

　◇김운=타당한 지적이다. 모두에게 이번 사고가 주는 교훈은 크지만 무엇보다 금융기관들의 대오각성이 절실하다. 최고경영자(CEO)의 확고한 보안마인드는 필수적인 전제조건이다.

　<서한기자 hseo@etnews.co.kr>