한겨레

한국씨티은행 체크카드가 지난해 외국에서 1천건 가까운 국외 부정승인 사고를 낸 데 이어 올해도 같은 사고가 반복적으로 발생한 것으로 나타났다. 하지만 씨티은행은 이런 사고 위험을 제대로 고지한 적이 없어 1만5천여명의 카드 보유 고객이 고스란히 위험에 노출돼 있다는 지적이 나온다.

16일 씨티은행과 이 은행 노조의 말을 종합하면, 무작위로 카드번호를 생성해 결제를 시도하는 ‘빈 어택(BIN attack)’에 에이플러스 체크카드 상품이 지난해에 이어 올해도 노출되면서 국외 부정사용 사고가 반복된 것으로 나타났다. 빈 어택은 카드번호 16자리 가운데 맨앞 여섯자리가 은행코드 등을 반영해 특정 카드상품은 모두 똑같은 점을 노려, 카드번호 자동생성 프로그램을 통해 부정결제를 시도한다. 이런 시도가 통하는 이유는 대표적 국외 간편결제시스템인 페이팔 등이 소액결제는 비밀번호 등을 입력하는 시스템을 생략하고 카드번호만으로 결제를 허용하는 무승인 시스템을 운영하고 있기 때문이다. 다만 이들 회사는 부정승인 피해는 무조건 보상해주는 식으로 시스템을 운용한다. 씨티은행은 지난해 6월 이런 사고가 집중적으로 발생하자 부정승인 사실이 확인된 고객에 대해선 카드를 재발급해주고 전액 보상 처리하는 한편, 부정승인이 발생했던 페이팔 내 574개 가맹점을 차단했다고 밝혔다. 또 이 카드상품의 신규발급을 중단했다.

하지만 문제는 이런 사고가 반복되는데 기존 고객들이 위험 속에 방치돼 있다는 점이다. 씨티은행 쪽은 평소 이상거래 탐지 시스템을 운용하고 있으며, 올해 부정승인 사례는 지난 3월에 2건이 있었을 뿐이라고 주장했다. 하지만 씨티은행 노조 쪽은 “이런 결제는 주로 1~50달러 사이의 소액결제에 한정되다 보니 지난해 사고 발생 총액은 3천만~4천만원 정도로 작지만 1천여건에 이르렀고, 올해도 우리가 확보한 사례만 4월과 5월에 걸쳐 2명이 당한 사례가 있다”면서, 회사 쪽이 사고 사례와 위험을 투명하게 공개하지 않고 있다고 주장했다. 빈 어택은 악성 프로그램과 외국의 간편결제시스템이 맞물린 사고다. 하지만 피해 범위를 최소화하려면 사고 카드를 전면 재발급하거나 고객에게 사고 위험을 전면 고지해 추후 카드 사용 여부를 결정할 선택권을 줬어야 한다는 지적이 나온다. 또 문제의 카드에 대해선 국외 무승인 결제를 아예 차단하는 방법도 있다. 김호재 씨티은행 노조 부위원장은 “씨티은행은 소액결제 사고를 그때그때 보상하는 땜질처방으로 일관해왔다”면서 “금융감독원 쪽에 이런 문제를 고발할 생각”이라고 말했다.

한편 씨티은행 쪽은 “카드 사용 전면 중지나 국외 무승인 결제 전면 차단은 선량한 이용 고객에게 피해를 줄 우려가 있다”면서 “평소 이상거래 감지 시스템 운용 등의 노력을 하고 있다”고 말했다.

정세라 기자 seraj@hani.co.kr

◎ Weconomy 홈페이지 바로가기: https://www.hani.co.kr/arti/economy/home01.html/
◎ Weconomy 페이스북 바로가기: https://www.facebook.com/econohani/