<이슈추적> 상상 초월한 정보유출로 짚어 본 카드사태

신용 카드사들에 의한 고객 정보유출로 불안감이 증폭되고 있는 가운데 미국에서도 카드 소액결제 사기가 기승을 부리고 있다. 특히 $9.84 등 소액 결제에는 등한시 하는 점을 악용해 피해가 눈덩이처럼 커지고 있다. 한국에 이어 미국에서도 지난해 말 부터 대형 카드정보 유출 사건이 이어지고 있다. 대형 체인점인 타겟에서는 1억1000만 건의 고객 정보가 유출됐고 유명 명품 백화점 니만 마커스에서도 110만 건의 고객 정보 유출 사건이 발생한 바 있다. <선데이 저널>이 카드정보 유출에 따른 피해를 심층취재 했다.
심 온 <탐사보도팀> 

개인정보 고스란히 유출돼 파장

고가품 전문취급 매장인 ‘니만 마커스(Neiman Marcus)’에 대한 해킹공격으로 하와이에서만 최소한 9,600여 명의 고객 개인정보가 유출됐으며, 지난 한 해동안 전국적으로 110만명이 피해를 입은 것으로 밝혀졌다. 관계자들은 니만 마커스가 발행한 신용카드나 Bergdorf Goodman 카드명세서에 수상한 내역이 발견될 경우 니만 마커스 매장이나 해당업체 신용카드사업부 전화 1-800-685-6695번으로 연락할 것을 당부했다. 
미국 내에 1800곳의 지점을 둔 대형 유통회사인 ‘타겟’사의 회원 정보 4000만 건이 해킹에 의해서 노출되어서 큰 혼란이 일어나고 있다. 회원가입 시에 요구하는 소셜번호, 전화번호, 이메일, 비밀번호, 주소 등이 고스란히 노출된 것이다. 즉각 크레딧 카드를 사용 중지 시키면 타인의 사용은 막을 수는 있지만, 이미 유출된 개인정보는 또다른 범죄로 계속 연결될 수 있다는 것이 큰 문제이다. 이메일 피싱, 보이스 피싱 등 사기 전화와 세일즈 메일 등 일방적 접근이 가능하게 된 것이다.



타겟 측은 지난달 전국 각 매장에서 결제에 사용된 신용카드와 데빗카드의 소유주 이름과 카드 번호 만기일 보안코드(CVV)가 유출됐지만 “데빗카드의 비밀번호가 (유출의) 영향을 받았다는 징후는 없다”고 밝혔다. 한편 범죄자들이 카드 정보를 입수한 뒤 해당 카드의 사용이 가능한지 알아보기 위해 몇 센트의 결제를 시도해 보는 경우가 많기 때문에 소액 결제 내역도 빠뜨리지 말고 자세히 살펴봐야 한다.
비자와 마스터카드, 디스커버리 등 주요 신용카드 업체 측은 정보가 유출된 카드 중 2400장이 부정 사용됐다고 확인했다. 하지만 구체적인 피해 액수는 발표하지 않았다.

카드 정보가 유출된 소비자들의 2차 피해 우려도 커지고 있다. 이미 니만마커스 고객들의 카드 도용 사실이 확인됐으며, 타깃 고객들의 정보를 이용한 신용카드 사기범도 적발되면서 우려가 현실이 되고 있는 상황이다.
지난 달 텍사스주에서 타깃을 통해 빠져나간 카드정보를 도용해 90개가 넘는 카드를 만들어 사용한 20대 2명이 경찰에 체포됐다. 매리 카르멘 가르시아 바쿠에라(27)와 다니엘 도밍구에즈(28)는 유출된 카드 정보를 이용해 가짜 카드를 만들어 월마트와 K마트, 토이저러스, 베스트바이 등 텍사스 남부의 주요 소매점에서 수 천 달러를 사용한 혐의다. 경찰은 이들이 해외에 있는 해커에게 이 카드정보를 구입한 것으로 보인다고 밝혔다. 전문가들은 도난 된 카드정보가 또 다시 이런 식으로 사용될 가능성은 얼마든지 있다며 카드사용자들의 주의를 당부했다.
카드 정보 유출이 우려된다면 카드를 새로 발급받는 것이 가장 좋다. 또 신용카드와 데빗카드 사용내역을 정기적으로 꼼꼼하게 살피는 것도 중요하다. 결제를 할 때 되도록이면 데빗카드보다는 신용카드를 사용하는 것이 좋다. 부정 사용이 발생했을 때, 카드사가 이에 대해 고객에게 청구할 수 있는 금액(liability)은 최대 50달러다. 일부 카드사는 이를 청구하지 않는 경우도 많다. 하지만 이틀이 넘어가면 500달러까지 올라간다.

범죄 악용된 피해자 이중고

날로 발달하는 신분 도용 기술 때문에 은행 수수료를 내거나, 교통위반 티켓이 기록되거나, 엉뚱한 체포 기록이 생길 수도 있다. 최악의 경우 중범죄의 가해자로 둔갑돼 법원 출두 명령을 받을 수도 있다. 신분도용 범죄의 2차 피해가 우려되는 가운데 이와 유사한 범죄가 다른 스토어에서도 수백만 건씩 일어날 가능성이 높다고 전문가들은 경고하고 있다.
한 피해자의 경우 로컬 경찰서는 물론 FBI, 국립범죄정보센터, 심지어 비밀경호국에까지 자신이 저지르지 않은 범죄에 대해 소명하느라 고충을 겪었다. 신분 도용은 온라인에서만 일어나는 것이 아니다. 사기범들은 주유소에도 스키밍 기계를 설치해 카드번호와 핀번호를 무단 취득할 수 있다. 붐비는 시간의 레스토랑이나 바에서도 종업원이 마음만 먹으면 고객의 크레딧 카드를 휴대용 스키밍 장비로 읽어내 모든 정보를 훔쳐갈 수 있다
또한, 선량한 소비자를 노리는 지능화된 경품사기가 횡행하고 있다. 정상적이고 합법적인 경품이벤트를 실시하는 웹사이트를 가장, 존재하지 않는 고액의 경품을 미끼로 소액결제를 유도한 뒤 결제정보를 이용해 회원가입 등 다른 명목으로 고액의 청구를 하는 경품사기의 덫이 여기저기 드리워진 상태다. 소비자를 낚기 위한 경품사기의 미끼의 종류도 유명브랜드의 상품권에서부터 노트북, 스마트폰에 이르기까지 종류도 다양하다.
페이스북이나 트위터 등 소셜미디어상의 경품사기에 대한 주의경보도 발령된 상태다. 소셜미디어 공간에서 할인이벤트를 통해 정상적인 디지털마케팅을 실시하고 있는 단체나 회사도 있지만 온라인 서베이 실시를 명목으로 노트북과 같은 상품을 무료로 증정한다는 광고메시지와 함께 개인정보를 요구한 뒤 잠적하는 경품사기 또한 버젓이 활개를 치고 있다.

해킹 정보 경품사기에 활용

설령 이들로부터 상품권이나 할인구매권을 받더라도 사용할 수 없는 가짜이거나, 더 나아가 경품이벤트를 통해 얻은 개인정보를 활용, 신용카드나 데빗카드 사기 등 2차적인 신분도용범죄로 이어지는 경우도 발생하고 있다.
경품사기는 네티즌에 국한되지 않는다. 해킹을 통해 입수한 개인정보를 가지고 무작위로 가정에 전화를 걸어 경품당첨을 고지한 뒤 신용카드정보를 요구하는 경품사기도 적지 않은 상태다. 수차례에 걸쳐 캐리비안지역 여행경품에 당첨됐다는 전화를 받았다는 유모씨는 “당첨된 여행경품을 수령하기 위해서는 소정의 수수료를 먼저 지불해야 한다는 명목으로 개인정보와 신용카드정보를 요구했다”며 “이 같은 여행경품 당첨사기에 넘어가 상당한 금액을 손해 본 지인도 있다”고 전했다.
문자메시지를 통한 경품사기도 주의해야 한다. 휴대폰에 전달된 문자메시지에 노트북이나 고액의 상품권에 당첨될 수 있다며 이벤트를 실시한다고 홍보한 뒤 참여하는 소비자들에게 고지없이 전화, 문자서비스에 가입하게 만든다. 경품이벤트 참가자들이 경품사기였다는 사실을 알게 되는 것은 고액의 전화결제대금청구서를 받아본 뒤다. 이 같은 경품사기와 관련, 금융관계자들은 “경품을 활용, 소비자들의 결제정보를 도용하는 지능사기의 피해사례가 늘고 있다”면서 “신청하지도 않은 경품이나 출처를 알 수 없거나 확인할 수 없는 곳에서 송부한 이메일, 문자메시지, 전화는 바로 삭제하거나 무시할 것을 권한다”고 조언했다.

유출 고객 정보 악용 사례

고객 정보를 빼내 불법적으로 사용하기 위한 해킹이 또 다시 고개를 들고 있어 한인들의 각별한 주의가 요구되고 있다.
샌디에고 지역에서 부동산업자 이모씨는 최근 ‘뱅크 오프 아메리카’를 사칭한 이메일을 받고 자신의 개인 신상정보를 송두리째 해킹 당한 후 뒤늦게 이 사실을 알고 해당 은행과 소셜사무소에 신고했다.
이씨에 따르면, BoA를 사칭한 해킹 전문 사기범들이 은행에 필요한 정보가 필요하다며 개인 신상정보를 요구했다. 이씨는 “개인 이메일로 뱅크 오브 아메리카에서 비정상적인 온라인 카드 내역이 있다며 이를 알아보기 위해서는 개인 신상정보가 필요하다는 메시지가 왔었다”며 “해당 메일을 접속하니 은행과 흡사한 웹사이트가 화면에 뜨고 해당란에 개인 정보를 입력하라고 해 아무 의심 없이 했었다”고 말했다. 이에 대해 지역 한인 은행 관계자들은 “은행에서는 구좌에 대한 이상 징후에 대해 고객들에게 이메일로 개인 신상정보를 입력하라고 요구하지 않는다”며 “다만 이런 경우 필요 이상 혹은 의심 가는 구좌활동이 있을 경우 이메일로 해당 은행으로 연락하라는 메시지는 보낸다”며 “이메일로 개인 정보를 요구하는 경우 일단 해킹의 소행이라고 판단하면 된다”고 설명했다. 



LA에 사는 김모씨(43)는 “최근 크레딧카드 내력을 살펴보다가 알 수없는 17달러가 세달째 연속으로 빠져나간 것을 뒤늦게 확인하고 회사측에 알아봤더니 한 인터넷 업체가 사용하지도 않은 서비스 비용을 부과했던 것”이라며 “다시 환불을 받는데 여러 달이 걸렸다”고 말했다.
또 최모씨(54)는 “크레딧 리포트를 신청한후 1년 가까이 30불이 빠져 나간 것을 발견하고 알아봤더니 신청하지도 않은 크레딧 관리 비용이라는 사기성 답변을 듣고 환불을 신청했지만 아직껏 받지 못하고 시간을 낭비하고 있다”고 말하기도 했다.
또, 이달 들어 미국 2위 포털 업체 야후는 이메일 계정의 사용자 이름과 비밀번호가 유출됐으며 유출된 정보가 계정 접속에 이용됐다고 밝혔다. 그러나 야후는 피해 계정 수는 밝히지 않았다.
시장조사회사인 컴스코어(comScore)에 따르면, 구글 다음으로 전 세계적으로 이메일 서비스 이용자가 많은 야후에는 미국 8100만 개를 비롯한 전 세계 2억7300만 개의 이메일 계정이 있는 것으로 알려졌다.

스팸 메일 통해 비밀번호 입수

야후는 이날 자사 공식 블로그를 통해 “이번 해킹 공격을 통해 얻으려고 했던 정보는 최근 이메일을 발송한 사용자 이름과 이메일 주소”라고 밝혔다. 해커들이 스팸이나 사기 메일을 보내기 위해 이메일 주소를 더 구하려고 이 정보를 빼간 것으로 보인다. 해커들은 보낸 메일함에서 실제 사용자 이름 정보를 얻으면 스팸이나 사기 메시지를 수신자에게 정당한 메일처럼 보이게 할 수 있다.
많은 사이트가 비밀번호 변경에 이메일을 이용하고 있어 은행, 쇼핑 사이트와 관련한 추가 범죄로 이어질 수 있다는 점에서 이번 이메일 계정 유출이 우려된다. 야후는 사용자 이름과 비밀번호 관련 정보는 자사 시스템에서 수집된 것이 아니고 타사 데이터베이스에서 수집된 것이라고 밝혔지만, 타사 데이터베이스에 야후 계정에 대한 정보가 있는 이유에 대해서는 언급하지 않았다. 야후는 이어 유출된 이메일 계정의 비밀번호를 변경하고 있으며 재발 방지 조치를 취하고 있다고 설명했다.
연방수사국(FBI)가 최근 타겟 고객정보 유출사건과 관련해 주요 대형 리테일 업체에 사이버공격에 대한 경고문을 통지한 것으로 알려졌다.
FBI는 각 리테일 업체에 POS(Point of Sales) 멀웨어(악성 소프트웨어)가 설치된 현금계산기를 통한 크레딧, 데빗카드 정보 유출에 대한 설명을 포함한 3장짜리 비공개 보고서를 발송한 것으로 전해졌다. FBI는 조사결과 타겟 공격 수법과 같은 유형의 해킹 케이스가 지난해 20여 건에 달하는 것으로 드러나자 사이버공격 피해 확산 방지차원에서 이 같은 경고문을 발송했으며 FBI는 POS 멀웨어 범죄가 앞으로 더욱 기승을 부릴 것으로 전망했다.

대형 유통업체 공격 대상

이번 타겟 케이스가 문제가 되고 있는 것은 지능적으로 연중 가장 바쁜 쇼핑시즌에 발생했으며 적발되지 않은 채 계속 카드정보를 빼내갔다는 점이다. 또한 니만 마커스 역시 지난해 110만 명의 고객카드가 같은 수법으로 정보 유출이 됐음을 타겟 피해로 이슈가 된 후에야 밝혀낼 수 있었다는 점이다. 전문가들은 대형 소매업체들이 하루 빨리 이 같은 사이버 공격에 대처할 수 있는 개선된 보안시스템을 구축해야 할 것이라며 규모가 작은 업체일수록 보안에 대한 투자가 미미해 피해를 당하기가 쉽다고 조언했다. 한편, 최근 발생한 일련의 대규모 카드정보 유출사태는 연방재무부 산하 시크릿서비스가 수사를 진행하고 있으며 FBI도 조사에 나서고 있다.