카드시스템스, FTC의 주장에 합의

　‘카드위조 범죄발생의 책임은 보안인증회사가?’

최근 미국에서 직불카드회사 위조카드 사용 범죄에 따른 미 연방수사국(FBI)의 수사가 확산되고 있는 가운데 한 보안인증회사가 수백만달러의 책임을 고스란히 지게될 상황을 맞아 향배가 주목을 끌고 있다.

미국의 카드 인증 회사인 카드시스템스 솔루션스(CardSystems Solutions)가 고객 데이터를 보호하지 못해 수백만달러의 사기 구매가 발생하게 했다는 미 연방거래위원회(FTC)의 주장을 인정했다고 FTC가 23일(현지 시각) 발표했다. 이에 따라 카드시스템스는 앞으로 더욱 강화된 보안 조치를 도입하고 향후 20년 동안 격년 단위로 독립된 감사를 받게 된다.

FTC는 성명에서 카드시스템스의 보안 위반 사건이 지금까지 금융 데이터를 손상시킨 사례 중 가장 크게 알려진 것이라며, 고객들이 민사 소송을 제기할 경우 카드시스템스가 수백만달러를 지불하게 될 수도 있다고 말했다.

미국에서는 지난해 말 이후 미국과 해외에서는 20만명의 고객에 대한 직불카드거래를 취소시키는 사태가 발생해 새삼 은행카드 보안에 대한 경각심이 높아지고 있다. 미국에서는 지난해 뱅크오브어메리카(BOA)와 워싱턴뮤추얼이 아닌 제 3자가 도용한ID로 만든 직불카드로 미국의 월마트 등에서 사용한 것으로 추정되는 증거가 나오면서 미국전역을 흔들고 있는 상황이다.

데보라 머조라스 FTC 의장은 “카드시스템스는 그들이 보유할 이유가 없는 고객 금융 정보를 보유한 후 이를 위험에 빠뜨릴 수 있는 방법으로 저장했다”며 “민감한 고객 정보를 보유하는 기업은 그 데이터가 안전하게 보관되는지 보증하는 절차를 밟아야 한다”고 말했다.

카드시스템스는 상인들에게 신용카드 및 직불카드 구매를 허용하고 승인하는 업체다. 이 회사는 지난해 중·소 상인 11만9000명 이상의 카드 구매 약 2억1000만건(거래액 150억달러)을 승인했는데, 그 과정에서 고객들의 카드 번호와 카드 만기일 및 여타 데이터를 수집해 이를 자사 컴퓨터 네트워크에 저장했다.

FTC는 카드시스템스가 해커들이 자사 네트워크에 침입하지 못하게 할 보안 장치를 충분히 갖추지 않았으며, 회사 네트워크에 있는 컴퓨터 간 및 인터넷과 회사 컴퓨터 간 접속에 제한 조치를 하지 않았다고 이 회사를 고발했었다.

FTC는 무엇보다 이 회사가 승인없이 고객 정보에 접속하는 것에 대해 충분히 탐색 및 조사하지 않았다고 밝혔다.

또 이 회사의 부실한 보안 상태가 수백만장의 신용 카드와 현금 카드를 위태롭게 했고 수백만달러가 사기 구매에 이용되게 했다고 지적했다.

FTC는 이번에 제안된 합의를 연방관보(Federal Register)에 게재하고 30일 동안 일반인들의 의견을 받아 합의를 최종 승인할 것이라고 밝혔다.

한편 카드시스템스는 지난해 12월 페이바이터치(Pay By Touch)에 인수됐다.

정소영기자@전자신문, syjung@