[취재파일] 지금도 내 카드가 복제되고 있다

VOLTA64... 우연히 확인한 신용카드 대금 청구서에 찍힌 가맹점 이름. 아무리 생각해도 어떤 곳인지 알 수 없었다. 50여만 원을 긁은 기억은 더더욱 없었다. 그는 카드회사에 전화했다. '이탈리아에 있는 가맹점'이라는 답이 돌아온다. "난 이탈리아는 물론, 최근에 해외에 나간 적이 없다"고 하자. "여권을 가지고 지점을 찾아 해외에 나간 적이 없다는 사실을 증명해야 한다"는 답이 돌아온다. 그의 지갑 속에 있는 카드와 똑같은 카드가 해외에서 복제돼 사용된 것이다.

전형적인 카드 복제 범죄에 이용되는 건 스키머라는 카드 복제기. 일부 주유소나 술집에서 계산을 위해 신용카드를 건네면 종업원이 카드 결제를 하면서 숨겨 놓은 카드 복제기(스키머)에 슬쩍 카드를 한 번 더 긁는다. 스키머에는 신용카드 마그네틱 라인에 있는 신용카드의 기본 정보가 저장된다. 그 정보를 가지고 이른바 쌍둥이 카드, 즉 복제 카드를 만들어 내는 것이다. 이런 수법은 국내, 해외를 가리지 않고 지금도 끊이지 않고 일어나고 있다. 다만 카드 결제 과정을 직접 지켜보고 있으면 피해 가능성을 줄일 수 있다.

카드 회원이 속수무책으로 당하는 카드 복제 수법은 해킹에 의한 것이다. 해커들이 신용카드 기본 정보를 어디선가 해킹한 뒤 복제카드를 만드는데, 주로 몇 년 전부터 POS 단말기가 타깃이 됐다. POS 단말기는 컴퓨터와 금전등록기, 신용카드 결제기가 결합된 장치다. 마트에서, 커피전문점에서, 빵집에서, 서점에서... 아주 흔히 볼 수 있다. POS(Point of Sales), 즉 판매시점 관리 시스템은 판매되는 품목은 물론 고객정보를 집적하고 분석할 수 있다. 재고관리, 고객관리, 마케팅 등에 유용해 폭넓게 활용되고 있다. 그런데 문제는 POS 단말기가 카드를 긁는 순간 카드의 기본정보를 저장해 놓기 때문에 해킹에 취약하다는 사실. 실제 POS 단말기를 통해 신용카드 정보가 대량으로 유출된 사건이 몇 년 전부터 잇따라 발생했다.

                       

심각한 문제가 아닐 수 없었다. 회원이 카드를 잃어버린 것도 아니고, 카드 회원이 해킹의 빌미를 제공한 것도 아니다. 정상적인 가맹점에서 정상적으로 카드 결제했을 뿐이다. 그런데 가맹점의 POS 단말기가 해킹돼 복제 카드가 만들어지고 카드 회원에게 부정 사용된 금액이 청구된다? 금융회사로서는 기본적인 신뢰를 도전받는 문제였다. 그래서 카드회사들은 80억 원을 모아 POS 단말기용 보안 프로그램을 개발했다. 그게 2년 전이다.

카드회사들은 가맹점 단말기를 관리하는 VAN사에게 보안 프로그램 설치를 위탁했다. 그런데 POS 단말기 20여만 대 가운데 지금까지 보안 프로그램이 설치된 건 약 40% 정도에 불과하다. POS 단말기가 워낙 종류가 많다 보니 개발된 보안 프로그램과 충돌이 일어나는 경우도 있었지만, 카드회사들은 가맹점들의 인식 부족과 무신경을 탓한다. 보안 프로그램을 설치하는 동안 장사에 방해가 된다는 이유로 잘 동의하지 않는다는 것이다. 강제성이 없기 때문에 가맹점들이 거부하면 어쩔 수 없다는 게 카드회사들 입장이다.

POS 단말기를 많이 활용하는 대형 유통업체나 프랜차이즈 업체 중에도 보안 프로그램을 깔지 않은 곳이 많다는 게 금융감독원의 설명이다. 일부는 자체 전산 시스템과 보안 프로그램이 잘 맞지 않는다는 이유를 대기도 한다. 금융감독원은 카드회사들이 이런 대형 유통업체나 프랜차이즈 업체를 적극적으로 설득하면 보안 프로그램 설치율을 크게 높일 수 있다고 본다. 해킹의 가능성을 줄일 수 있다는 얘기다.

                       

그런데 카드회사들은 우물쭈물한다. 대형 유통업체나 프랜차이즈 업체는 카드회사 입장에서는 '갑'이다. 대량 매출이 발생해 카드회사에게 막대한 수수료를 안겨주기 때문이다. '갑'이 싫다는데 감히 가맹점 계약 해지 운운하면서 보안 프로그램 설치를 압박하기란 사실상 불가능한 것이다.

하지만 기본적으로 가맹점 관리의 책임은 카드회사들에게 있다. 금융감독원도 카드회사들이 더 적극적으로 나서야 한다고 지적한다. 보안 프로그램을 깔지 않는 가맹점과는 가맹 계약을 해지하겠다는 자세로 이 문제를 해결해야 한다는 것이다. 그래서 금감원은 카드사별로 가맹점의 POS 단말기 보안 프로그램 설치 실적을 오는 6월쯤 점검하기로 했다.

물론 POS 단말기에 보안 프로그램을 100% 설치한다고 해도 카드 정보 해킹과 그로 인한 복제 카드 불법 사용이 없어지지는 않을 것이다. 해킹의 수법과 카드 복제의 방법은 나날이 진화하니까. 하지만 '내가 왜 비용과 시간의 손해를 감수하고 보안 프로그램을 깔아야 하냐'는 가맹점과 '보안 프로그램 개발과 설치 비용(처음에는 이 비용을 왜 카드회사들이 내냐는 반발도 컸다)으로 80억 원이나 냈으니까 우리 할 일은 다 했다'는 카드회사, '어떻게 좀 진도를 내 봐라'고 말할 뿐 사실상 방관해 온 금융당국이 모두 문제다.

그렇게 2년 동안 당사자들이 팔짱만 끼고 있는 사이 어디선가 해킹은 계속 이뤄졌을 것이다. 카드 불법 복제가 대부분인 해외 위,변조 사용은 2009년 3천 여 건 수준에서 2010년 1만 1천 건 이상으로 폭증했고, 지난해에도 상반기에만 5천 건을 넘었다. 지갑에 신용카드를 잘 보관해 온 수많은 소비자들이 ‘내가 쓴 게 아니다’는 사실을 입증하기 위해 카드회사들과 실랑이를 벌여야 했고, ‘해외 부정 사용이 의심된다’는 카드회사들의 연락을 받고 잘 쓰던 카드를 정지시키고 새로운 카드를 발급받는 수고를 해야 했다. 카드대금 청구서가 오면 바로 쓰레기통에 버리는 일부 회원들은 자기가 쓰지 않은 해외 결제대금이 자동이체로 빠져나간 사실을 지금도 모르고 있을 것이다.