6000만명이 사용하는 KB국민카드와 비씨카드의 소액결제 체계인 안전결제(ISP) 시스템 이용자들이 해킹을 당해 경찰이 수사에 나섰다. KB국민카드와 비씨카드 측은 4일 ISP 부정 사용에 따른 고객 피해를 모두 보상하겠다고 밝혔다.

경찰청 사이버테러대응센터에 따르면 해킹 피해는 지난달 2일부터 7일까지 집중적으로 발생했다. 경찰이 집계한 피해자는 190명, 피해 건수는 830건에 달한다. 경찰은 현재까지 피해 규모가 1억8000만원 정도지만 두 카드사의 회원이 6000만명에 달하는 것으로 미뤄볼 때 추가 피해 사례가 있을 것으로 보고 있다. 피해자의 ISP 인증서와 ISP 비밀번호를 해킹한 범인은 온라인 게임 사이트 넥슨 등에서 게임 아이템을 구매했고, 다시 아이템을 팔아 현금화한 것으로 알려졌다.

경찰은 두 카드사가 운영하는 ISP 시스템 자체가 해킹된 건 아니라고 보고 있다. 해커들이 악성코드 등을 통해 개인용 컴퓨터나 이메일 등을 해킹했고, 컴퓨터 안에 저장된 ISP 인증서를 빼갔을 가능성에 초점을 맞춰 수사를 진행 중이다.

그러나 이번 해킹 사건을 통해 ISP 결제방식의 취약점이 노출됐다는 지적도 나온다. 경찰에 따르면 ISP 인증서와 ISP 비밀번호만 해킹하면 해커의 컴퓨터에서 카드 소지자도 모르게 온라인 결제를 할 수 있다. 처음에 신용카드 정보를 입력하고 ISP인증서를 발급받으면 이후에는 ISP 비밀번호만 입력하면 온라인 결제를 할 수 있기 때문이다. 임종인 고려대 정보보호대학원장은 “해커들이 ISP 인증서를 빼가고 ISP 비밀번호를 알아 내는 건 어렵지 않다”며 “(해커가 심어 놓은) 악성코드에 감염되지 않도록 개개인이 주의해야 한다”고 지적했다.

KB국민카드와 비씨카드 등은 이번 해킹 사건으로 고객이 입게 될 피해를 모두 보상키로 했다. KB국민카드 관계자는 “해당 카드회원은 부정 사용에 따른 책임이 전혀 없다”며 “개인용 컴퓨터 해킹에 관한 과실 여부와 상관없이 감독규정에 따라 어떠한 부담도 지지 않도록 할 것”이라고 말했다.

다만 이들 카드사는 안전결제 부정 사용에 대한 책임이 회사에 있다는 비판에 대해서는 적극 해명했다. 비씨카드 관계자는 “고객 컴퓨터에 대한 해킹 사건이기 때문에 카드사와는 관계가 없다”고 선을 그었다. 한편 금융감독원은 안전결제 부정 사용에 관계된 KB국민카드와 비씨카드에 대해 현장점검을 실시해 사실관계를 확인할 계획이라고 밝혔다.

■ 안전결제(ISP)

KB국민카드와 비씨카드가 사용하는 30만원 미만 온라인 결제 방식이다. 처음 신용카드 정보를 입력, 인증서를 발급받고 이후에는 비밀번호만 입력하면 온라인 결제를 할 수 있다.

김우섭/박종서/김보영 기자 duter@hankyung.com