비밀번호 빼고 다 털려…대포폰 통해 금융 사기 위험도

깊은 한숨 최종구 금융감독원 수석부원장이 19일 서울 여의도 금융감독원에서 금융권 고객정보 유출에 대해 기자설명회를 하기 전 긴장한 듯 크게 숨을 들이쉬고 있다. 연합뉴스

카드사 고객 정보 유출 파장

주민번호·전화번호·주소에
직장·연소득·신용등급까지
개인신상 최대 19가지 노출

카드 유효기간 노출됐을땐
해지뒤 재발급 받아야 안전

17일 케이비(KB)국민카드·롯데카드에 이어 18일 엔에이치(NH·농협)카드도 정보유출 여부 조회 서비스를 시작하면서 실상이 속속 드러나고 있다. 일부 고객의 경우 최대 19개 항목까지 개인 신상이 대거 노출된 것으로 파악돼 충격을 더하고 있다. 본인 사칭이 가능할 정도의 신용정보여서 2차 피해에 대한 불안감이 커지고 있다.

각 카드사가 공식 누리집을 통해 안내하고 있는 개인정보 유출 확인 안내를 보면, 유출된 개인정보 항목은 이름, 주민번호, 전화번호, 주소, 주거 상황, 직장 주소, 직장 정보, 연소득, 이용 실적, 결제 계좌, 결제일, 신용한도 금액, 신용등급 등이다. 롯데·농협카드 일부 회원의 경우 카드번호와 카드 유효기간도 함께 유출된 것으로 드러났다. 비밀번호만 제외하고 사실상 모조리 유출된 셈이다. 검찰은 “유출된 개인정보 원본과 복사본을 모두 압수했고 추가로 판매·유통되지 않은 것으로 확인된다”고 밝혔으나, 복제가 쉬운 디지털 정보 특성상 유출 가능성을 완벽히 배제할 수 없는 상황이다.

주민번호, 카드번호와 유효기간이 노출된 피해자의 경우엔 카드를 해지한 뒤 재발급을 받아야 할 것으로 보인다. 실물 카드가 없더라도 일부 가맹점에서 카드번호와 유효기간만으로 결제할 수 있기 때문이다. 전화로 배달음식을 시키거나, 홈쇼핑 화장품 등을 구매할 때 카드번호와 유효기간을 불러달라고 하는 게 대표적이다. 일부 해외 사이트도 카드번호, 유효기간만으로 결제가 이뤄진다. 사정이 이런데도 금융감독 당국은 “비밀번호와 시브이시(CVC) 코드(카드 뒷자리에 기재된 세 자리 숫자)는 노출되지 않아 위조 가능성이 낮다”는 식의 해명만 내놓고 있다.

예상되는 피해는 ‘카드 부정사용’에 그치지 않는다. 금융권에서는 유출된 정보만으로 신분을 사칭한 ‘금융 사기’가 가능하다고 입을 모은다. 특히 ‘대포폰’까지 개설되면 본인 행세도 할 수 있다. 유출된 정보는 신분증을 위조해 이동통신사에서 휴대전화를 개통할 수 있을 정도라는 분석도 나오고 있다. 휴대전화는 공인인증서와 같은 ‘본인 인증’ 수단으로 대중화돼, 금융 결제 등의 최종 확인 수단으로 쓰이고 있다. 예컨대 사기범이 금융기관에 등록된 전화번호를 변경한 뒤 유선상으로 “비밀번호를 잊어버렸으니 재설정해 달라”고 요청하면 주소, 주민번호 확인과 휴대전화 인증을 거치는데, 모두 유출된 정보로 악용 가능하다. 다른 사람이 자신의 명의로 대출을 받아 챙겨가도 본인만 모를 수 있다는 얘기다.

정유경 기자 edge@hani.co.kr