​"2차 피해 있다" vs "정보유출 때문 아니다"

카드업계, 정보유출 2차 피해 해명에 진땀

불법 도박사이트 문자메시지 화면.

아주경제 장슬기 기자 = #. 지난 18일 KB국민 체크카드를 사용하던 A씨의 국민은행 통장에서 232만원이 해외 출금을 통해 빠져나가는 일이 발생했다.

#. 지난 20일 롯데카드 회원인 B씨의 휴대전화로 모바일 게임회사에서 결제가 됐다는 문자메시지가 도착했다. 이날 같은 금액이 10분 간격으로 모바일 게임회사에서 중복 결제됐다.

사상 최대 규모의 카드사 개인정보 유출이 발생한 가운데, 일부 소비자들이 정보유출로 인한 카드 부정 사용 등 2차 피해를 입었다고 주장하고 있다.

다만 카드사들은 이번 유출 정보에 카드 비밀번호나 카드 뒷면 번호(CVC)가 포함되지 않았기 때문에 개연성이 없는 사건이라며 선을 그었다.

26일 금융권에 따르면 이번 개인정보 유출 사건으로 인해 2차 피해가 발생했다는 주장이 곳곳에서 제기되고 있다.

아울러 일부 언론을 통해 유출된 정보가 이미 브로커를 통해 팔리고 있다고 보도되자, 카드사들은 이번 정보유출과 전혀 무관한 사건이라며 적극 해명에 나섰다.

최근 검찰과 금융당국은 "유출된 정보에는 비밀번호나 CVC가 포함되지 않아 카드 복제 등이 이뤄질 수 없다"며 "게다가 정보가 유통되기 전 압수했기 때문에 2차 피해는 없다"고 발표한 상태다. 

국민카드는 A씨의 피해사례에 대해 "검찰과 금융당국의 발표와 같이 카드번호, 유효기간, 비밀번호, CVC번호의 유출이 없었다"며 "확인한 결과 A씨의 경우 미국 현지 가맹점에서 카드실물 결제 방식을 통해 카드 승인이 발생했기 때문에 과거 이용 가맹점 중 특정 가맹점에서 유출된 것으로 추정된다"고 해명했다.

롯데카드도 B씨의 사례에 대해 해명에 나섰다. 롯데카드는 "모바일 게임회사에서 중복 결제된 사례는 CVC번호가 반드시 필요한 한 애플리케이션 구매 플랫폼에서 결제가 이뤄진 것"이라며 "이번 사건으로 롯데카드의 CVC 유출이 이뤄지지 않았기 때문에 이로 인해 2차 피해 가능성은 전혀 없다"고 설명했다.

결국 B씨의 사례는 카드번호, 유효기간, CVC번호를 저장한 구글ID의 해킹으로 발생한 것으로 판명됐다.

이어 지난 22일에는 롯데카드 고객인 C씨가 본인이 방문한 적이 없는 태국에서 57만9224원의 카드 결제가 이뤄지는 일도 발생했다.

롯데카드는 이에 대해서도 "태국 오프라인 매장에서 카드 직접결제를 통한 거래가 이뤄졌으며, 이는 카드 복제가 이뤄졌다는 의미"라며 "카드 복제 역시 반드시 CVC값이 필요하기 때문에 이번 정보 유출사고와는 무관하다"고 밝혔다.

다만 이들 카드사는 해당 사건들에 대한 자체 조사를 통해 고객의 과실이 없는 것으로 판명되면 전액 보상한다는 방침이다.

카드사들은 최근 1~2년 사이에 빈번하게 발생하고 있는 포스단말기 해킹을 통한 위조카드 결제 범죄가 이번 개인정보 유출 사건과 맞물려 2차 피해 우려를 낳고 있다고 주장한다.

한 카드사 관계자는 "이번 개인정보 유출 사건으로 인해 실체가 확인되지 않은 신빙성 없는 주장도 제기되고 있다"며 "검찰 수사결과와 대검발표, 금융당국의 정보 원본 확인 결과에서도 카드 복제에 대한 필수 항목이 없는 것으로 거듭 확인됐다"고 강조했다.

하지만 2차 피해에 대한 주장이 지속적으로 제기되고 있는 만큼, 카드사들은 부정사용 예방 및 신속한 대처를 위해 문자메시지 승인알림 서비스나 출입국여부확인서비스 신청을 권장하고 있다.

여신금융협회는 단말기 해킹을 통한 부정사용을 차단하기 위해 직접회로(IC)카드 거래 단말기 구축에 속도를 낸다는 방침이다.