동아일보

[동아일보]

사상 최악의 금융 개인정보 유출 사고로 소비자들의 불안감이 커지고 있다. KB국민, 롯데, NH농협카드 등에서 유출된 정보에는 주민등록번호부터 카드번호, 결제계좌, 신용등급까지 민감한 정보가 가득 담겨 있다. 현재 유출된 정보만으로 당장 카드를 위조해 물건을 사거나 현금 인출을 하는게 불가능하다고 하지만 이번 사고를 악용한 스미싱(Smishing·문자메시지를 이용한 결제사기) 같은 2차 피해가 발생할 수 있다. 개인정보 유출에 따른 피해를 방지할 수 있는 내용을 문답으로 정리했다.

[1] 카드 유효기간 유출됐으면 재발급 받는게 안전

Q.

카드가 위조되거나 도용될 가능성은….

A.

카드 위·변조나 복제를 위해서는 카드번호와 비밀번호, 유효기간, CVC값(뒷면 숫자 중 마지막 세 자리)이 필요하다. 이번 유출 정보에는 다행히 비밀번호와 CVC값이 포함되지 않아 위조나 현금 불법 인출 같은 피해가 일어날 가능성이 크지 않다.

문제는 롯데·NH농협카드에서 카드번호와 유효기간이 유출된 고객들이 있다는 것. 해외 웹사이트 중엔 카드번호와 유효기간만 입력하면 결제가 이뤄지는 곳이 많다. 국내에서도 영세가맹점이나 일부 홈쇼핑, 보험판매, 방문판매 거래 때 카드번호와 유효기간만 알면 결제할 수 있어 카드 불법 도용의 가능성을 배제할 수 없다.

따라서 유효기간 정보가 유출된 고객은 카드를 재발급 받는 게 안전하다. 카드사 콜센터를 이용하거나 영업점을 방문하면 재발급이 가능하다. 3개 카드사는 또 실시간으로 카드 결제 내용을 휴대전화 문자메시지로 알려주는 알림 서비스를 1년간 무료로 제공하기로 했다. 본인이 쓰지 않은 카드 거래 내용을 즉각 확인할 수 있는 셈이다. 은행 계좌번호가 유출됐어도 비밀번호가 포함되지 않았기 때문에 통장을 재발급할 필요는 없어 보인다.

[2] '개인정보 보호 서비스' 신청하면 명의도용때 문자 통보

Q.

카드 재발급 외의 다른 방법은….

A.

카드 비밀번호를 바꾸는 것도 방법이다. 카드사마다 비밀번호를 변경하는 절차는 조금씩 다르다. KB국민카드는 전화로 변경이 불가능하며 신분증과 카드를 갖고 영업점을 방문하거나 공인인증서를 이용해 홈페이지에서 바꿀 수 있다. 롯데카드는 홈페이지뿐만 아니라 전화로도 변경할 수 있다.

신용평가회사들이 제공하는 '개인정보 보호 서비스'를 이용하는 것도 유용하다. 고객이 대출을 받거나 카드를 발급받을 때 금융회사가 고객 신용정보를 조회하는데 이때 신용정보 조회 사실을 고객에게 즉각 문자메시지로 알려주는 서비스다. 이 서비스를 이용하면 명의를 도용해 대출 신청이나 카드 발급이 일어날 때 고객이 바로 확인할 수 있어 피해를 예방할 수 있다. 이번 개인정보 유출의 원인을 제공한 신용평가회사 코리아크레딧뷰로(KCB)는 모든 피해 고객에게 무료로 1년간 이 서비스를 제공하기로 했다. 다른 신용평가회사인 나이스도 이 서비스를 운영하고 있다.

[3] 고객 정보 5년 보관… 해지했거나 안 썼어도 정보유출

Q.

카드를 해지했는데 왜 정보가 빠져나갔나.

A.

3개 카드사에서 빠져나간 정보는 개인별로 다르지만 최대 19개 항목에 이른다. 이름, 주민등록번호, 휴대전화, 직장정보 등 개인 신상정보는 물론이고 결제 계좌번호, 연소득, 신용등급, 신용한도, 카드 이용 실적 같은 정보도 포함됐다. 여기에는 카드를 오래전 해지했거나 카드를 발급받아 한 번도 쓴 적이 없는 고객도 포함됐다. 개인정보보호법에 따라 카드사는 해지, 탈퇴한 고객의 정보도 통상 5년간 보관하기 때문이다.

특히 KB국민카드 유출 정보에는 국민은행 등 계열사 고객도 포함됐다. 금융지주회사법에 따라 계열사 간 개인정보 공유가 가능해 KB국민카드가 은행 고객정보를 갖고 있었던 것. 다만 예금, 대출 등과 관련된 금융정보는 유출되지 않은 것으로 파악됐다. 게다가 카드사들은 고객 신용도 조사나 카드 한도 산정을 위해 다른 업체의 고객정보도 공유하기 때문에 KB국민, 롯데카드에서는 타사 카드 보유 현황과 타사 카드 이용 실적도 유출됐다.

[4] 2012년 10월부터 유출… 사용내용 의심되면 신고를

Q.

예전 카드 결제 내용을 다시 확인해야 하나.

A.

정보 유출이 발생한 시점은 2012년 10월부터 지난해 12월까지다. 검찰과 금융당국에 따르면 아직까지 정보 유출과 관련된 피해 사례는 드러나지 않았다.

하지만 불안하다면 홈페이지에서 정보 유출 시기 이후의 카드 사용 실적을 확인해 보는 게 좋다. 자신이 쓰지 않았는데도 돈이 빠져나간 기록이 있으면 금융회사와 금융당국에 신고해야 한다.

[5] 보안카드 번호 묻는 메시지, 스미싱으로 봐야

Q.

개인정보가 유출됐다고 문자나 e메일이 오는데….

A.

고객이 카드사 홈페이지에서 직접 정보 유출 여부를 확인하는 것과 별도로 카드사들이 피해 고객에게 유출 내용을 통보하고 있다. 이때 각 카드사의 공식 콜센터가 아닌 곳에서 온 전화나 문자메시지는 각별히 주의해야 한다. 금융회사나 금융당국을 사칭해 카드나 계좌 비밀번호, 보안카드 번호 같은 정보를 빼내려는 보이스피싱일 가능성이 높다. 이미 고객정보 유출 여부를 확인하라는 카드사 사칭 문자나 스마트폰 푸시알림 사례가 적발되고 있다.

KB국민카드는 1588-1688, 롯데카드는 1588-8100이 공식 번호이며 NH농협카드는 e메일과 우편을 통해서만 통지하고 전화나 문자메시지 통보는 하지 않고 있다.

또 이번 사고와 관련해 출처가 불분명한 곳에서 온 e메일 또는 문자메시지를 열거나 메시지에 포함된 인터넷 링크주소(URL)를 클릭해서는 절대 안 된다. URL을 클릭하면 악성코드가 설치돼 본인도 모르게 소액결제가 되거나 금융정보가 빠져나가는 '스미싱'일 수 있다. 금융당국은 "카드사에서 보낸 문자메시지, e메일에는 URL이 전혀 없다"며 "비밀번호, 보안카드 번호 입력을 요구하는 금융회사도 없다"고 강조했다.

[6] 금전적 피해 발생하면 해당 카드사가 전액 보상

Q.

정보 유출로 피해를 봤다면….

A.

카드 무단 도용이나 현금 불법 인출 등의 피해가 발생하면 KB국민카드(1899-2900), 롯데카드(1588-8100), NH농협카드(1644-4199)의 피해접수 콜센터, 한국인터넷진흥원의 개인정보침해신고센터(118)로 신고하면 된다. 20일부터 24시간 콜센터를 운영한다. 금전적 피해가 발생하면 해당 카드사가 이를 전액 보상할 예정이다. 금전 피해를 카드사가 보상하지 않는 경우는 금감원의 분쟁조정 절차를 통해 구제받을 수 있다. 유출된 개인정보가 유통되는 것을 발견할 경우 금감원 정보유출감시센터(1332)로 신고하면 된다.

● 도움말 주신 분들

△김성근 중앙대 교수 △김승주 고려대 교수 △김인성 한양대 교수

△윤광택 시만텍코리아 이사 △ 이장석 한국IBM 글로벌테크놀로지서비스(GTS) 사업부 대표

△최영록 IT보안 컨설턴트

정임수 기자 imsoo@donga.com

ⓒ 동아일보 & donga.com, 무단 전재 및 재배포 금지