씨티은행 신용카드 사고, 원인에 의문 제기

　한국씨티은행이 발행한 20여명의 신용카드가 인터넷 상에서 5000만원이나 무단결제 되는 사건이 발생한 가운데 사고 원인을 놓고 의문이 제기되고 있다.

　씨티은행은 지난 1일부터 6일까지 발생한 이 사고에 대해 상대적으로 보안이 취약한 결제대행서비스업체(PG)의 하위가맹점을 해킹해 카드정보와 비밀번호를 알아낸 뒤 인터넷에서 공인인증서가 필요없는 30만원 이하 사이버머니 구입을 하는 방식으로 범행이 저질러졌다고 15일 해명했다.

　그러나 전문가들은 안심클릭이나 ISP 방식으로 이뤄지는 이 같은 거래에서 PG에는 카드번호나 비밀번호가 전송되지 않고 승인정보만 전해지기 때문에 PG의 서버를 해킹하더라도 이를 알아낼 수 없다고 지적했다. PG의 서버에는 매입처리를 위해 16자리 카드번호중 12자리 수만 저장될 뿐이라는 것이다.

　다만 일부 PG사의 경우 거래 화면에 대해 카드번호와 비밀번호 입력시 키보드 해킹을 막는 해킹방지 기능을 설치하지 않기 때문에 키보드 해킹에 의한 사고일 가능성이 있다고 분석했다. 그러나 이 경우 카드사-PG 간 연동이 다(多) 대 다 구조이기 때문에 씨티은행 카드만 해킹당했다는 점을 설명할 수 없다.

　이에 따라 카드사 내부 시스템에서 안심클릭을 가입자를 인증해주는 역할을 하는 접속컨트롤서버(ACS)가 해킹 당한 것 아니냐는 의문이 제기됐다. 대부분의 카드사가 ACS를 외주 개발한 뒤 직접 관리하는 방식을 취하고 있는데 이 과정에서 관리에 문제가 있었던 것 아니냐는 의혹이 제기된 것.

　특히 씨티은행은 보통 카드사들이 카드번호, 비밀번호 외에도 카드 뒷면의 CVC(코드)를 요구하는 절차를 거치는 데 반해 이를 생략하고 있어 보안에 문제가 있는 것으로 나타났다. CVC는 카드를 가지고 있지 않으면 알기 어려운데다 카드사 서버에도 저장되지 않고 인증시마다 산출되는 값이기 때문에 카드사 서버가 해킹당해 카드번호와 비밀번호가 유출되더라도 CVC를 알 수 없다는 장점이 있다.

　카드업계의 한 전문가는 “사고를 분석해 봤을 때 PG가 해킹당했다는 것은 원인이 될 수 없다고 본다”며 “오히려 카드번호와 비밀번호가 해킹이 아닌 다른 방식으로 외부에 유출돼 악용됐을 가능성이 크다”고 말했다.

　씨티은행은 이에 대해 “ACS를 외주 관리한다는 주장은 사실무근”이라며 “신용카드 부정사용 예방 시스템을 통해 추후 동일한 사고 발생 방지를 위해 모니터링을 강화하고 대응조치를 하고 있다”고 해명했다.

　한편 씨티은행은 사외이사 전원으로 구성된 은행장 후보추천위원회를 열어 하영구 은행장의 연임을 확정했다고 밝혔다.

　김용석기자@전자신문, yskim@