본문 바로가기
일상

카드정보 412억건 규모.. 휴대전화 간편결제 서비스 악용 무방비

by 낭리 2020. 6. 15.

[단독] 카드정보 412억건 규모.. 휴대전화 간편결제 서비스 악용 무방비

금융·개인 정보 역대 최대 규모 유출

[서울신문]포스단말기·ATM에 악성코드 심어
이용 때마다 카드 비번·개인정보 빼내
멤버십가맹점 서버도 뚫려 정보 숭숭
금감원 아직 해킹 진원지조차 파악 못해
공범 검거 안돼 게임사이트 등 결제 우려
범정부 TF 꾸려 소비자 피해 예방 나서야

김승훈 입력 2020.06.14. 19:06 수정 2020.06.15. 05:06

 

 

현금자동입출금기(ATM)와 카드가맹점 포스단말기, 멤버십가맹점 등 불특정 다수의 전산기기가 해킹돼 사상 최대의 금융·개인 정보가 유출되는 사건이 발생했다. 특정업체 한 곳이 아니라 카드사·금융사·기업 등 경제 근간을 이루는 곳들이 두루 연계돼 있어 범정부 차원의 태스크포스(TF)를 꾸려 유출 실태를 파악하고, 서둘러 소비자 피해 예방 조치에 나서야 한다는 지적이 나온다.

이번 유출 사건은 시중은행 해킹 혐의로 지난해 6월 구속된 이모(42)씨의 추가 범행과 공범 수사 과정에서 1.5테라바이트(TB) 분량의 외장하드를 확보하면서 불거졌다. 은행 보안 관련 일을 하는 이씨는 2012년 커피숍·중소형 슈퍼·생활잡화점·음식점 등 국내 카드가맹점 수백 곳의 포스단말기에 카드 정보를 빼내는 악성코드를 심었다. 악성코드는 이메일로 유포돼 가맹점 사업주나 종업원들이 포스단말기에서 메일을 확인하는 순간 자동으로 깔렸다. 고객이 카드를 사용할 때마다 이씨가 설정해 놓은 메일로 카드 트랙 정보가 실시간으로 빠져나갔다. 이씨는 2014년 4월 경찰에 적발돼 복역하고 2016년 초 출소했지만 당시 악성코드를 심어놓은 포스단말기에선 지금도 정보가 빠져나가고 있다. 1.5TB 내 카드 정보도 그때 심어놓은 악성코드를 통해 유출된 정보들이다. 복수의 금융권 관계자는 “금융감독원은 아직도 포스단말기 해킹 진원지조차 파악하지 못하고 있다”고 지적했다.

유출 카드 정보는 카드 트랙 정보를 뜻한다. 카드 트랙엔 카드 번호, 유효 기간, 비밀번호 암호화값 등이 담겨 있다. 이 정보만 있으면 복제카드를 만들 수 있다. 카드 한 장에 들어가는 트랙 정보는 40줄로, 40바이트(Byte) 용량이다. 1.5TB는 1조 6492억 6744만 5000바이트로, 카드 정보 기준으로 412억 3168만 6125건이 들어간다. 최근 싱가포르 사설 보안업체에서 다크웹을 통해 불법 거래되는 국내 카드 정보를 파악해 우리 금융당국에 통보한 90만건은 35킬로바이트(KB) 수준으로, 비교 자체가 되지 않는다.

출소한 이씨는 은행 ATM에도 악성코드를 깔았다. 고객이 ATM을 이용할 때마다 실시간으로 카드 비밀번호, 은행계좌번호, 주민등록번호, 이름 등이 유출됐다. 1.5TB 분석 결과가 나오면 국내 어느 금융사의 ATM이 해킹됐는지, 계좌 유출과 피해 규모가 얼마나 되는지 파악할 수 있다.

멤버십가맹점 서버도 뚫렸다. 1.5TB 안엔 멤버십 회원번호와 주소, 휴대전화번호 등도 담겨 있다. 경찰은 서버 자체가 해킹된 것으로 보고 유출 경위를 확인하고 있다. 문제는 공범이 아직 검거되지 않았다는 점이다. 이씨와 해킹을 함께한 범인들이 1.5TB 분량의 금융·개인 정보를 갖고 있다면 휴대전화 간편결제 서비스와 도난 카드정보가 흔히 사용되는 게임사이트 등에서 악용할 수 있다.

김득의 금융정의연대 상임대표는 “2014년 카드 3사의 1억건 정보 유출보다 규모가 크다면 검찰까지 포함해 범정부 차원의 TF를 구성해 서둘러 수사하고 소비자 피해 예방 조치를 해야 한다”며 “정보 유출에 따른 피해와 관련해선 징벌적 손해배상이나 집단소송 등을 통해 소비자 피해 보상이 제대로 이뤄져야 한다”고 지적했다.

 

김승훈 기자 hunnam@seoul.co.kr

윤연정 기자 yj2gaze@seoul.co.kr

 

서울신문
https://news.v.daum.net/v/20200614190603978

 

 


 

‘412억건 규모’ 금융·개인정보 털렸다…1.5TB 분량

 

입력 : 2020-06-15 06:00:00 수정 : 2020-06-14 22:19:25

 

포스단말기 등 해킹 / 경찰·금감원, 후속조치 놓고 공방

 

 

전직 은행 보안 종사자가 포스단말기 등을 해킹해 신용·체크카드 정보와 은행계좌번호, 주민등록번호, 휴대전화번호 등 금융·개인 정보 1.5테라바이트(TB) 분량을 유출한 것으로 확인됐다.

서울지방경찰청 보안수사대는 지난해 6월 은행 해킹 혐의로 구속된 이모(42)씨의 추가 범행과 공범 수사 과정에서 금융·개인 정보 1.5TB 분량이 든 외장하드를 확보했다고 14일 밝혔다. 여기에는 이씨가 빼낸 금융·개인 정보가 들어 있었는데, 이씨는 2012년 음식점 등 국내 카드가맹점 수백 곳의 포스단말기에 카드 정보를 빼내는 악성코드를 심는 방식으로 범행을 저질렀다. 1.5TB는 신용카드 정보 기준으로 약 412억건이 들어가는 용량이다.

경찰은 지난 3월 초 금감원에 관련 데이터를 줄 테니 카드사별 분류와 소비자 피해 예방 조치를 해 달라고 요청했지만 금감원은 어렵다는 뜻을 밝혔다. 경찰은 다시 3월 말 금융보안원에 협조를 구했지만 금감원의 요청이 필요하다는 대답을 들었다고 했다.

이번 사태를 두고 경찰과 금감원의 입장은 엇갈리고 있다. 경찰 관계자는 “금감원이 양이 너무 많은 데다 자신들의 업무 범위도 아니고 실제 피해자가 없다며 협조하지 않았다”면서 “금감원에서 해당 정보를 분류해서 카드사별로 알리고 피해 예방 조치를 하라고 했지만 금감원이 미적거리고 있다”고 말했다. 하지만 금감원 관계자는 “금융 정보를 보유하고 있지 않은 데다 분석 권한도 없다”며 “경찰 측에 압수물을 분석해 넘겨달라고 요청한 상태”라고 맞섰다.

 

유지혜·송은아 기자 keep@segye.com

 

세계일보
http://www.segye.com/newsView/20200614514252?OutUrl=daum

 


 

 

 개인 취급 부주의 탓만하며, 개인정보 유출해놓고는 미안하다는 사과만 반복

감독기관과 수사기관은 서로탓

댓글6