"카드 재발급 해야하나"… 실제 위변조 가능성은?

정보유출 사태, 국민 불안감만 키우는 '카더라' 통신

KB국민카드와 농협카드, 롯데카드 등 3개 카드사의 개인정보 유출 조회건수가 급증하고 있다. 재발급 건수 역시 꾸준히 증가하고 있다. 그만큼 국민들의 불안감이 커지고 있다는 의미다. 하지만 과도한 불안감은 오히려 부작용을 양산할 수 있다는 지적도 만만치 않다. 이번 일의 책임소재는 분명하게 하되 불안감이 판데믹(pandemic·대유행병)처럼 번져서는 곤란하다는 것이다.

20일 금융권에 따르면 이날 정오 기준 3개 카드사의 카드 재발급 신청건수는 15만4700건으로 집계됐다. 농협카드가 8만8200건으로 가장 많았고 KB국민카드 3만4000건, 롯데카드 3만2500건 순이었다. 재발급이 급증한 것은 정보유출로 인한 카드 위변조 및 부정사용에 대한 불안감의 표시다. 386만명의 국민들이 인터넷을 통해 정보유출 여부를 조회한 것도 같은 맥락이다.

하지만 금융당국은 카드 위변조나 부정사용 등의 가능성은 희박한 것으로 보고 있다. 실제로 관련 피해 신고는 아직 접수되지 않고 있다. 무엇보다 카드 비밀번호와 CVC(카드 뒷면에 새겨진 3자리 숫자)는 유출되지 않았기 때문이다. 카드를 위변조하거나 부정사용하려면 카드 비밀번호와 CVC가 필수적이다. 그만큼 금융사도 이들 정보를 중요하게 관리한다. 범죄를 저지른 KCB의 박 모 차장도 이들 정보에 접근할 권리는 없었다.

실제로 금융사들은 카드 비밀번호를 암호화한 뒤 보관하면서 검증 목적으로만 활용한다. 내부 직원들도 회원들의 비밀번호를 검색할 수 있는 체계 자체가 없다. 결국 회원들이 비밀번호를 기억해내지 못할 때도 금융사들은 비밀번호를 알려줄 수 방법이 없다. 비밀번호를 재설정할 때는 기존 정보를 초기화해 재설정하는 방법을 사용한다. 비밀번호를 암호화하는 방식 역시 특정한 알고리즘으로 숨겨져 있다.

CVC는 더욱 복잡하게 보호된다. CVC는 회원들의 성별과 나이 등을 조합해 형성되는 일종의 카드 유효성 값이다. 카드 뒷면에 특정한 숫자 3개가 기입되지만, 금융사들은 이 숫자를 따로 보관하지 않는다. 금융사에 저장되는 값이 아닌 것이다. 다만 성별과 나이 등의 데이터를 연산화하는 알고리즘만 가지고 있다. 따라서 CVC의 유효성만 확인할 뿐 특정 번호를 알 방법이 없다.

이번 사건을 모의한 일당들도 카드 위변조나 부정사용을 직접적으로 노리지는 않은 것으로 보인다는게 금융권의 일반적인 분석이다. 이번 사건을 조사한 창원지검에 따르면 3개 카드사로부터 정보를 빼돌린 KCB의 박 모 차장은 광고대행업체에 관련 정보를 넘겼다. 정보를 건네받은 광고대행업체는 일종의 브로커 역할을 하면서 또다시 이를 대출모집인에게 넘겼다. 결국 이들의 목적은 카드 대출정보 등이었다.

국민들의 불안감이 가중되면서 보이스피싱과 스미싱 등 2차 피해의 가능성도 커졌다. 보이스피싱과 스미싱은 대표적인 사회공학적 수법의 범죄다. 성별과 나이, 직장정보 등 개인정보가 추가될 경우 범죄의 가능성은 더욱 높아진다. 이 같은 우려에 따라 카드사들은 이번 사태와 관련된 모든 통지를 이메일과 우편으로만 진행하기로 했다. 전화나 문자메시지로 해당 통보가 올 경우 무조건 사기로 보면 된다.


그럼에도 불구하고 국민들의 불안감이 가중되자 신제윤 금융위원장도 진화에 나섰다. 신 위원장은 "이번 사태의 경우 개인정보가 유출됐지만 유통은 되지 않았다"며 "희박한 가능성 때문에 자신의 카드가 부정사용 될 것이라는 불안감을 가질 필요는 없다"고 말했다. 금융위가 3개 카드사에 대한 중징계를 예고하는 등 강경한 자세로 나오고 있지만, 그와 별개로 국민들의 과도한 불안감은 경계하고 있는 것이다.

물론 국민들의 불안감을 금융사들이 자초했다는 지적도 만만치 않다. 숱한 금융사고와 개인정보 유출로 이미 국민들의 신뢰가 추락했기 때문이다. 정태명 성균관대 정보통신공학부 교수는 "금융기관은 국민들의 신뢰를 받는 곳인데 신뢰가 무너지면 걷잡을 수 없다"며 "이번 사태도 신뢰를 정리하는 차원에서 근본적인 대책이 마련돼야 한다"고 말했다.