BC·KB국민카드 '안전결제' 해킹… 190명 1억8000만원 피해

[재경일보 김윤식 기자] BC카드와 KB국민카드의 30만원 미만 신용카드 온라인 거래에서 사용되는 소액결제 시스템인 안전결제시스템(ISP·Internet Secure Payment)이 해킹돼 소비자들이 큰 피해를 입었다.

온라인에서 가장 안전한 결제 방식으로 꼽혔기에 충격이 적지 않다.

경찰청은 KB국민카드와 BC카드의 소액결제 체계인 '안전결제(ISP)' 시스템을 사용하는 금융 소비자들이 해킹을 당해 경찰청 사이버테러대응센터가 수사에 착수했다고 4일 밝혔다.

범인들은 주로 밤시간대에 IPS를 해킹해 온라인 게임 사이트 '넥슨' 등에서 아이템을 구매하고 결제한 것으로 알려졌다. 이들은 30만원 이상 온라인 결제는 공인인증서를 사용해야 하기에 30만원 미만 금액을 여러 번 결제했다.

경찰은 190여명의 피해자가 830회에 걸친 부정결제 과정에서 1억8000만원의 피해를 입은 것으로 집계하고 있다.

경찰은 ISP시스템 자체가 해킹됐을 가능성보다 악성코드 등으로 소비자 개인의 이메일에 저장된 인증서가 해킹당했거나, PC가 해킹돼 PC안에 저장된 인증서가 유출됐을 가능성을 염두에 두고 수사를 진행 중이다.

경찰은 개인의 ISP 정보 차원을 넘어 ISP 시스템 자체가 해킹됐을 경우에는 두 카드 이용자들의 피해 규모가 광범위하게 확산될 수 있다고 말했다.

그동안 외부에서 신용카드 정보를 훔쳐 'ISP 인증서'를 재발급받아 범행에 쓴 사례는 있었지만 이번과 같이 'ISP 인증서 재발급' 없이 카드번호·CVC (카드확인코드)번호·비밀번호·유효기간·별도의 비밀번호가 담긴 ISP 정보를 통째로 빼내 카드 소지자도 모르게 결제에 성공한 경우는 이번이 처음이다.

경찰은 두 카드사의 회원이 6000만명(BC카드 4040만명, KB국민카드 2065명)에 달하는 것으로 미뤄볼 때 유사한 해킹 사례가 추가로 발생했을 가능성을 배제하지 않고 피해 사례를 수집 중이다.

경찰청 사이버테러대응센터 관계자는 "시스템 자체가 해킹당했을 가능성보다 PC가 해킹당했을 가능성에 무게를 둔다"며 "2007년 이후 발생한 ISP해킹 사례와 유사한 것으로 현재는 보고 있다"고 설명했다.

이에 대해 BC카드 측은 "소비자가 온라인 게임을 하다가 해킹되면서 ISP 비밀번호까지 누출된 것으로 추정하고 있다"면서 "ISP 지원회사가 시스템 자체에는 문제가 없다는 결론을 내렸다"고 설명했다.

KB국민카드 측도 "사건 초기에 수사를 의뢰해 피해자는 많지 않은 것으로 알고 있다"면서 "현 상황에서는 고객이 개인 PC를 잘 관리하지 못해 생긴 일로 보고 있다"고 밝혔다.

하지만 피해자들은 "카드사들이 그동안 ISP를 홍보하면서 개인 PC에서 '안전결제' 인증서가 해킹되는 것은 불가능하다고 하지 않았느냐"고 반발하고 있다.