소비자 피해 발생 시 전액 금융 회사가 보상
[소비라이프/고은영 기자] 9일 금융위원회는 다크웹에 공개된 개인 카드 정보가 부정 사용될 가능성은 없다고 밝혔다. 공개된 카드 정보 중 유효 카드는 전체의 약 36%에 불과하며, 카드 비밀번호 등은 공개되지 않았기 때문이다.
‘다크웹(Dark web)’은 주로 사이버 범죄에 활용되는 웹이다. 인터넷을 활용하지만, 접속을 위해서는 특정 프로그램을 사용해야 한다. 이 프로그램으로 접속자나 서버를 확인할 수 없어 완벽한 익명성이 보장된다.
이런 다크웹의 속성을 이용해 세계 각국 기업들의 개인정보를 탈취해 거액을 요구하는 집단이 있다. 지난 11월 22일 이랜드 시스템을 공격한 ‘클롭(Clop)’ 랜섬웨어 조직이다. 이들은 홈페이지 백신의 보안 작동을 멈추게 한 후, 타깃이 된 데이터를 암호화했다. 이들이 랜섬웨어를 공격한 후에 요구한 돈은 무려 445억 원에 달한다. 이랜드 측은 협상안으로 40억 원을 제시했지만, 클롭 조직은 이를 거절했다.
결국 지난 3일 그들은 1차로 다크웹에 10만 개에 달하는 카드 정보를 공개했다. 소비자들은 이 소식을 개인 SNS나 블로그, 카페에 공유하며 홈페이지 계정에 등록해 둔 카드가 있으면 즉시 정지할 것을 알렸다. 평소 이랜드 계열사를 자주 이용했다는 소비자 A 씨는 “무슨 카드로 결제했는지 기억이 안 날 경우 어떡하나요”라며 “전부 다 재발급받을 일이 갑갑하다”라고 토로했다.
이에 대해 금융위원회는 금융보안원, 여신협회, 신용카드사를 통해 사실 검증을 시도했다. 검증 결과 실제로 다크웹에 공개된 카드 정보에는 카드번호와 유효기간 등이 포함되어 있었으나, 카드 중 사용정지, 유효기간 경과 등으로 사용이 불가한 카드를 제외한 유효 카드 정보는 전체의 35%에 그쳤다. 또한, 온라인 결제를 위해 필요한 카드의 비밀번호나 CVC 정보가 공개되지 않았고, 오프라인에서 카드 결제 시 IC 카드 이용이 의무화됐기 때문에 공개된 정보만으로는 부정 사용은 불가할 것이라 밝혔다. 또한, 각 신용카드사의 부정사용방지시스템을 확인한 결과 카드발급일부터 현재까지 카드를 무단으로 이용한 거래는 없는 것으로 확인됐다.
1차 협상에 실패한 클롭 해커 조직은 2차 정보 공개를 예고했다. 이랜드 측은 지난 23일 정보 유출을 파악한 직후 TFT를 구성해 수사기관, 보안 전문 업체와의 협력으로 사태 해결을 위해 적극적으로 나서고 있다. 다가올 2차 유출 피해를 방지해, 이랜드 사는 고객들에게 카드 정보 유출 사실을 전하고, 재발급 방법 등 피해 복구 절차를 안내할 예정이다. 만약 카드 정보 유출로 빚어진 부정 사용이 확인될 경우 여신전문금융업법에 따라 소비자 피해는 금융 회사가 전액 보상하게 된다.
한편 금융위원회 관계자는 “향후 다크웹에서 카드 정보가 계속 공개돼도 매뉴얼에 따라 카드 정보를 확인하고, 부정사용방지시스템을 이용해 피해를 예방할 계획”이라고 밝혔다. 또한, 보안기업 관계자는 이 사태를 두고 “데이터가 유출되더라도 암호화 방법을 사용해 해커가 어떤 데이터인지 파악할 수 없도록 해야 한다”며, “유출될 수 있다는 전제하에 보안을 설계해야 한다”는 의견을 내놓았다.
