한국씨티은행의 인터넷뱅킹이 해킹돼 고객 20명의 신용카드가 인터넷상에서 무단 결제되는 사고가 발생함에 따라 인터넷뱅킹 고객의 불안이 증폭되고 있다. 특히 이번 사건은 은행의 전산망뿐만 아니라 전자상거래의 지급결제업무를 대행하는 업체인 PG(Payment Gateway)의 시스템까지 해킹될 수 있다는 사실이 밝혀져 더욱 충격을 주고 있다.

씨티은행은 15일 "이번 카드정보 해킹사건은 은행 시스템이 해킹된 것이 아니라 결제대행서비스업체(PG)의 하위 가맹점 사이트가 해킹돼 발생된 것으로 추정된다"며 "피해 고객들에게 전액 보상할 계획"이라고 밝혔다.

씨티은행뿐만 아니라 모든 은행들이 인터넷뱅킹에서 신용카드를 결제할 때 PG사와 제휴를 맺고 있다는 점을 고려하면 다른 은행들의 온라인 신용카드 결제도 '안전지대'가 아니라고 할 수 있다. 금감원 관계자는 "PG업체의 보안시스템이 강화되지 않으면 비슷한 해킹사건이 언제든지 일으날 수 있다"며 PG 등 전자금융업자에 대한 관리감독을 한층 강화할 계획이라고 밝혔다.



◆온라인 신용카드 결제도 해킹에 노출

금감원 관계자는 "PC를 해킹해 공인인증서를 알아내고 인터넷뱅킹으로 돈을 훔친 사례는 있었지만 이번처럼 PG사 사이트를 해킹해 고객정보를 빼낸 것은 처음"이라고 말했다. 현재 은행.카드사와 계약을 맺고 전자상거래업체의 결제정보를 은행.카드사에 전송해주는 역할을 하고 있는 PG사는 20여개로 추정된다. 금감원 관계자는 "씨티카드는 다른 은행들과 달리 신용카드 뒷면의 위변조 방지번호(CVC코드)를 입력하지 않아도 돼 부정사용이 가능했다"고 말했다.

씨티은행은 옛 한미은행과 합병하면서 한미은행 카드는 CVC코드를 적용하고 있지만 옛 씨티카드는 이를 적용하지 않고 있다. 이와 관련,옛 한미은행과 전산시스템을 통합하지 못한 씨티은행은 당초 씨티그룹의 글로벌 전산시스템으로 통합을 추진해오던 것을 중단하고 옛 한미은행의 전산시스템으로 통합키로 했다.


◆전자금융업 관리감독 강화해야

온라인 결제를 대행해주는 PG업체는 금융회사가 아닌 '전자금융업자'로 분류돼 현재 금융감독당국의 관리감독을 받지 않고 있다. 감독당국 관계자는 "PG사에 대한 IT 감독을 할 근거가 없어 여기서 사건이 터지면 속수무책으로 당할 수밖에 없다"고 말했다.

이에 따라 감독당국은 올해 시행된 전자금융거래법에 맞춰 전자금융업자에 대해 일정 수준의 재무건전성 기준을 충족한 뒤 금감원에 등록하도록 의무화했다. 또 암호프로그램,키보드 방지프로그램 등 금감원이 제시하는 안전기준을 준수하도록 했다.

금감원 관계자는 "전자상거래시 30만원 초과 결제에 대해서만 공인인증서 사용을 의무화하고 있는데 이를 좀 더 강화하는 등 인터넷뱅킹의 보안시스템을 강화하는 방안을 강구할 계획"이라고 밝혔다.

장진모 기자 jang@hankyung.com