[취재파일] "내 신용카드가 암시장에?"…'타깃'이 된 미국인들의 공포

  미국에 나오기 전 친분이 있는 공무원에게 이런 말을 들은 적이 있다. "지금의 주민번호 제도는 너무 위험해요. 다 폐기하고 새 신분인증제도를 만들어야할 날이 멀지 않았습니다."  웬만한 사람 주민번호, 주소, 전화번호는 이제 인터넷 검색만으로도 찾을 수 있거나 돈 조금 들이면 얻을 수 있다는 얘기였다.

가끔 이어지는 대형 인터넷사이트의 고객정보가 무더기로 털렸다는 소식에 충격보다는 포기의 심정이 더 큰 것도 아마 이런 현실 때문이리라. 최근엔 인터넷 상거래를 아예 안하는 사람도 적지 않다.

 그래도 한국은 신분확인에 관한 한 마지막까지 최선을 다하는 나라라는 느낌이 든다. 미국에서 인터넷 거래를 해보면 일단 PC의 본인 인증서 시스템이 없다. 그래서 워낙 신용카드 도용 사례가 많다보니 카드 회사마다 조금이라도 수상한 거래가 감지되면 본인에게 전화가 걸려오고 본인도 잊고 있는 사이 카드가 정지상태가 되기도 한다. 그래도 편리함 속에 감수해야할 '일부의 불편함'으로 생각하는 미국인들이 여전히 많다. 올 연말 미국사회를 술렁이게하고 있는 '타깃'의 고객정보 유출사태 전까지는 적어도 그랬다.

"직불카드 비밀번호도 유출"  늑장인정

고객 신용카드 정보유출의 첫 발표는 지난 12월 17일이었다. 시끄러웠던 열흘 뒤 다시 또 한숨을 키우는 발표가 나왔다. 해킹으로 유출된 고객 정보 가운데 미국에선 '데빗'카드로 불리는 은행 직불카드 비밀번호가 포함돼 있다고 타깃 측이 뒤늦게 인정한 것이다.

타깃은 지난 금요일(27일) 이메일로 배포한 성명에서 직불카드 비밀번호 유출 사실을 시인했으나, "내용이 키패드에서 입력될 때 암호화돼 있었고 타깃의 전산 시스템에서도 암호화 상태가 유지됐다"며 별다른 문제는 없을 것이라고 주장했다. 하지만 보안전문가인 '아비바 리탄'은 "이런 경우라면 안전하다고 볼 수 없다.

즉각 비밀번호를 변경하라"고 해당 고객들에게 권유했다. 미국에서도 직불카드 비밀번호 유출은 가장 심각한 것이다. 비밀번호만 알면 은행 계좌에서 곧바로 돈을 인출할 수 있고 신용카드와 달리 직불카드는 보상받을 방법도 마땅치 않기 때문이다.

또 신뢰감을 잃은 타깃의 대처방식도 비밀번호가 암호화돼있어 괜찮다는 해명에 대한 불신감을 키우고 있다. 지난 17일에 무려 4천만 명의 카드정보 유출을 발표하면서도 "현재 카드를 그대로 사용해도 괜찮다"고 했던 타깃이 아닌가? 10% 할인행사와 상품권으로 고객들의 불만을 잠재우고 대충 때우고 넘어가려했으니 미국 2위의 대형할인마트 업체의 대응으로서는 '0점'에 가까웠다. 분노보다도 심각한 것은 불안과 공포였다. 4천만명이라니? 이후로 다가올 피해와 파장에 대한 우려는 오히려 이제부터 시작되고 있다.

동유럽 암시장에 등장한 도난 카드정보 미국 추수감사절 쇼핑 대목인 블랙프라이데이 시즌인 11월27일부터 12월15일까지 19일 동안 미 전역의 타깃 매장에서 '오프라인' 카드결제를 했던 고객들이 정보유출 피해자들이다. 유출된 정보는 (신용카드를 제외한) 직불카드의 비밀번호, 고객 성명, 직불카드와 신용카드 번호, 카드 유효기간, 카드 뒷면에 적힌 세자릿수 보안코드이다. 더 나아가 카드 마그네틱 선 안에 저장된 지불정보가 포함돼있다. 이 마그네틱 선 정보는 소유자 각자의 유출당시 거래 상태에 따라 담겨있는 정보가 달라진다.

  보안 전문가들에 따르면 이번 사건은 지난 2005년 'TJX 캄퍼니스'에서 발생한 고객 9천만명 정보 유출에 이어 미국에서 발생한 정보 유출 사건 중 2번째로 크다. 타깃은 당시 이번 해킹 사건에 대한 조사가 아직 초기 단계이며, 수사·정보당국과 협조하고 있다고 설명했다. 그런데 미국의 컴퓨터 보안 전문 블로거들에 의해서 곧바로 충격적인 사실이 확인되기에 이른다. 

유출된 카드정보로 만든 복제카드들이 인터넷 신용정보 거래 암시장에서 팔리기 시작한 사실이 수사당국도 아닌 한 블로거에 의해 폭로된 것이다. '미국 카드 정보'라는 소개와 함께 카드번호, 유효기간 등 '쓸만한 정보'라는 설명과 함께 사이버 공간에 나타난 것이다. 한장에 20달러에서 100달러에 팔리고 있었다. 피해 규모와 정보 유출 경위를 감추기에만 급급했던 타깃은 보도를 인정하지도 부인하지도 않았다. 그냥 묵묵부답일 뿐이었다. 비밀번호 유출에 대한 타깃의 공식 입장 표명도 로이터통신 등이 지난 24일 이 사실을 보도한 지 사흘 만에 나온 '늑장 발표'여서 회사의 신뢰성에도 상당한 타격을 줄 것으로 보인다.

  도대체 어떻게 유출? 앞으로는 무슨일이?

당사자인 타깃 측은 수사를 이유로 정확한 고객정보 유출 경위를 밝히지 않고 있다. 놀라운 것은 해당 신용카드 정보가 캐나다까지 합해 무려 1,900여개에 달하는 타깃 매장 전체에서 유출됐다는 점이다. 현재까지 추정되는 정황은 해커가 동유럽 쪽에서 미국으로 침입한 것으로 보이며, 미네소타에 있는 타킷 본사와 물류센터의 전산망을 통해 전국의 타킷 매장까지 침범했고 매장마다 있는 'POS'(판매시점관리시스템)에서 정보를 줄줄이 빼냈다는 것이다. 

미국내 보안전문가들은 더 무서운 전망을 내놓고 있다. AP와의 인터뷰에서 인터넷 보안전문가 '예이런 사미드'가 말한 내용이다. "일단 피해자들 일부는 자신의 계좌에서 아주 소액이 인출된 기록이 있는지 잘 살펴봐야합니다. 마치 무슨 수수료처럼 위장해서 신경이 덜 쓰이게 빼내가죠. 그리고 해커들은 이런 방식으로 결제가 유효하게 이뤄진다는 것을 확인한 뒤에 갑자기 거액을 인출하거나 비싼 물건을 구매하게 될 겁니다.

해당 카드의 한도를 꽉 채워서 말이죠." 결국 일정 기간은 일종의 잠복기가 이어질 것이라는 설명이다. 역시 보안전문가인 '제임스 루이스'의 설명은 이렇다. "이런 식의 카드 정보 해킹이 해외에서 이뤄질 경우에는 장시간동안 대처할 방법이 없게 됩니다. 당장 그들을 체포해 범행을 중단시킬 수가 없기 때문이죠. 영악한 해커들이 해외국가를 대상으로 삼는 이유는 FBI의 손길이 자신들에게 닿지 않고 작은 위험을 감수해도 큰 돈을 노릴 수 있기 때문입니다."

  유출된 고객정보가 4천만명이라는 것이 오히려 '일반화'의 정서 속에 사태의 심각성을 감추고 있다는 지적도 나온다. 피해는 장기적으로 서서히 발생할 것이고 미국일지라도 각각의 피해에 대응할 행정력은 턱없이 부족하다.

 현명한 고객들은 재빨리 카드를 취소하고 새카드를 전혀 다른 비밀번호와 개인정보로 발급받았을 것이다. 하지만 무력하게 대응하는 고객이 많을 것이란 점은 4천만명이라는 숫자에서 느낄 수 있다. 또 이미 여기저기서 5백불, 1천불 식의 인출 피해가 드러나고 있다.

미국 정치권에서는 연방수사당국이 나서야한다는 목소리가 커지고 있다. 소매업체 2위라는 타깃의 영향력도 느껴진다. 사태의 심각성에도 불구하고 미 언론의 속보 보도가 조금씩 느슨해지고 있기 때문이다.

한국에서도 누구나 놀랄 만한 개인정보 유출 소식이 있었지만 지금은 그 이후의 소식이 들리지 않는다. 사이버 라이프의 시대, 범죄의 수준도 갈수록 지능화되고 있다. 우리는 이렇게 계속 포기하며 당하며 살아야하는 것일까? 아니면 누군가처럼 현금 거래를 고집하는 것이 현명한 것일까?