불안한 내 카드…비밀번호 자주 바꾸고 결제내역 문자로 받아봐야

곳곳서 새는 개인정보

카드 정보유출'괴담'확산…문답풀이
전문가 "비밀번호 유출가능성 극히 낮아"
카드번호 털렸어도 카드복제는 불가능
해외 직구 등 부정사용 가능성은 있어

< 휴일도 분주한 카드 창구 > 휴일인 26일에도 문을 연 서울 소공동 롯데백화점 내 롯데카드 고객센터가 카드 재발급, 해지 및 탈회를 하려는 회원들로 붐비고 있다. 국민은행,농협은행과 롯데카드 전 영업점은 휴일에도 정상근무했다. 강은구 기자 egkang@hankyung.com

KB국민, NH농협, 롯데 등 카드 3사의 개인정보 유출사건에 따른 파문이 계속되고 있다. 다른 카드사는 물론 홈쇼핑이나 인터넷쇼핑 고객들의 정보도 이미 광범위하게 유통되고 있는 것으로 나타났다. 일부에서는 카드 비밀번호가 거래된다는 얘기도 나돌고 있다. 이래저래 불안감은 더욱 커지는 형국이다. 이에 대한 대처요령을 문답으로 알아봤다.

Q. 카드 3사 외에 다른 카드사에서 나온 개인정보들도 광범위하게 유통되고 있다는데.

A. 맞다. 정보를 수집해 판매하는 브로커들은 개인 정보를 얼마든지 팔 수 있다고 말한다. 여러 경로를 통해 이미 상당한 정보가 빠져나갔다고 봐야 한다.

Q. 개인정보가 유출되는 경로는.

A. 다양하다. 인터넷쇼핑이나 홈쇼핑 결제 때 미리 심어놓은 악성코드 등을 통해 정보를 수집하는 방법이 있다. 또 대출중개업자나 전화마케팅(TM) 직원들이 마케팅 목적으로 금융사에서 넘겨받은 정보를 브로커에게 팔 수도 있다. 외부 용역직원이나 내부직원들이 유출하는 경우도 있다. 카드결제대행 사업자인 밴(VAN)사 결제망이나 포스(POS)단말기를 해킹할 가능성도 있다.

Q. 내 정보가 유출됐는지 어떻게 확인할 수 있는가.

A. 확인할 방법이 마땅치 않다. 카드 3사의 경우 유출된 정보가 있어 인터넷으로 확인할 수 있다. 하지만 다른 카드사는 어떤 정보가 유출됐는지조차 몰라 확인할 방법이 현재로선 없다고 봐야 한다.

Q. 카드사 비밀번호가 유출됐다는 얘기가 있다.

A. 가능성이 낮다. 카드 회원이 등록하는 카드 비밀번호는 카드사 데이터베이스(DB)에 암호화돼서 저장된다. 원래 입력한 숫자와는 다른 방식으로 DB에 저장된다는 얘기다. 물론 이 암호화된 값을 외부로 빼낼 가능성을 배제할 수는 없다. 하지만 암호값을 빼낸다고 해서 원래 비밀번호를 알아낼 수는 없다. 추정만 가능할 뿐이다. 특히 암호값이 저장될 때 카드사를 포함해 금융사별로 암호화 방식이 다르기 때문에 여러 금융사에서 비밀번호 정보를 모은다고 해서 모든 회사의 비밀번호를 전부 알아내기는 불가능하다.

Q. 암호를 풀어낼 가능성도 있지 않은가.

A. 암호 해제는 보안전문가들에게도 어려운 작업이다. 시간과 비용도 많이 든다. 브로커들이 정보를 파는 대가로 받는 가격을 감안하면 그런 노력을 할 가능성이 낮다.

Q. 해킹을 통해서는 알 수 있지 않나.

A. 가능성이 있다. 이미 수천만건의 정보가 해킹당하는 사건이 있었다. 비밀번호가 빠져 나갔는지는 확인되지 않지만, 가능성을 배제할 수는 없다.

Q. 아무래도 불안하다. 어떻게 하나.

A. 쓰지 않는 장롱카드는 정리하는 게 낫다. 카드 숫자를 줄이는 것도 괜찮다. 사용하는 카드의 경우 비밀번호를 수시로 바꿔야 한다. 여러 장의 카드를 갖고 있다면 카드마다 비밀번호를 달리하는 것도 좋은 방법이다.

Q. 비밀번호를 바꾸기 전에 카드를 부정 사용할 수도 있지 않나.

A. 그에 대비해 결제내역알림 문자서비스를 신청하면 좋다. 이 서비스를 이용하면 카드로 결제되는 즉시 휴대폰 문자로 결제 내역을 통보받을 수 있다. 다만 한 달에 300원 정도 이용료를 내야 한다. 이번에 사고가 난 카드 3사는 무료로 이 서비스를 제공하기로 했다.

Q. 카드번호와 유효기간은 이미 많이 유출되지 않았는가.

A. 정부는 부정 사용을 방지하기 위해 가맹점에 반드시 본인확인절차를 거치도록 했다. 자동응답기(ARS)나 휴대폰 문자확인을 통해 본인임을 확인한 뒤 결제토록 했다. 이것도 불안하면 결제알림서비스를 신청해 두는 게 좋다.

Q. 탈회나 해지, 재발급을 권하는데.
A. 재발급을 받으면 카드번호와 유효기간이 바뀐다. 탈회는 해당 카드사와의 거래를 끊는 것이다. 대신 자신의 정보를 모두 삭제할 수 있다. 해지는 특정 카드를 사용하지 않는 것을 말한다. 부정 사용될 우려를 없앨 수 있다.

Q. 현재 유통되는 정보로 카드 복제나 부정 사용이 가능한가.

A. 카드복제는 사실상 불가능하다. 복제에 필요한 건 비밀번호와 유효기간 CVC값(카드인증코드)이다. 이 중 비밀번호와 CVC값은 암호화돼 금융사 DB에 저장되기 때문에 두 가지를 모두 알아내서 똑같이 복제하기는 현실적으로 어렵다. 하지만 일부 인터넷쇼핑이나 해외에서는 유효기간과 카드번호로 결제가 가능한 곳도 있기 때문에 부정사용 가능성은 있다.

Q. 부정 사용에 대해 보상받을 수 있나.

A. 부정 사용으로 인한 피해는 전액 보상받을 수 있다. 다만 부정 사용된 시간에 다른 장소에 있었다는 점을 입증해야 한다. 보이스피싱이나 스미싱(문자 결제 사기)으로 인한 사기는 금융회사 잘못으로 입증될 경우 보상받을 수 있다.

임기훈 기자 shagger@hankyung.com