금감원, '앱카드 명의도용'에 카드사 실무자 긴급 소집

(서울=뉴스1) 이훈철 기자 = 금융당국이 각 카드사의 모바일카드 담당자들을 소집해 앱카드 명의도용 사건에 대한 원인파악과 보안체계에 대한 긴급 점검에 나섰다. 이는 최근 앱형 모바일카드의 명의도용 사건으로 금전피해가 발생한 데 따른 것으로, 당국은 유사한 모바일카드 체계를 갖추고 있는 각 카드사에 전면 시스템 점검을 주문했다.

12일 금융권에 따르면 금융감독원은 이날 오전 각 카드사의 앱 프로그램 및 보안담당자를 불러 모바일 카드 시스템을 점검했다.

금감원 관계자는 "대부분의 카드사들이 이번 사고가 발생한 앱형 모바일 카드 시스템을 사용하고 있는 상황에 문제가 발생한 카드사 시스템 자체에 문제가 있는 것인지 아니면 모든 카드사의 모바일카드가 해킹에 취약한 것인지 살펴보고 있다"고 말했다.

이어 그는 "각 카드사에 자체 점검을 주문한 결과 아직까지 추가 피해사례는 없는 것으로 파악되고 있다"고 덧붙였다.

이번 앱형 모바일카드 명의도용 사고는 지난 4월 삼성카드 부정사용방지시스템(FDS)에 의해 최초 적발돼 경찰청 및 금감원에 신고됐다.

삼성카드는 자사 앱카드를 이용 중인 회원의 카드가 환급성 게임사이트에서 대량 결제된 것을 포착했다. 피해금액만 6000여만원에 달했다. 이에 해당 회원에게 전화를 통해 확인 결과 스미싱 문자를 통해 금융정보가 빠져나간 점과 명의도용사실을 확인했다.

경찰 및 금감원의 조사가 진행 중인 가운데 현재까지 이번 사고는 사기범들이 스미싱 문자를 통해 개인 금융정보를 빼낸 뒤, 이를 이용해 다른 스마트폰에 모바일카드 프로그램을 옮겨 설치하는 수법을 이용한 것으로 알려졌다.

특히 이번 사고가 아이폰에 설치된 앱형 모바일카드를 통해 이뤄졌다는 점에 아이폰의 보안체계를 악용한 계획적인 범죄로 추정되고 있다.

차세대 결제수단으로 각광받고 있는 앱카드는 최초 카드등록 후 추가 번호입력없이 결제가 가능하다는 점에 인기를 끌고 있다. 다만 최초 카드 등록시에는 프로그램 설치 후 카드번호와 CVC값 등을 통해 카드를 등록하거나 공인인증서를 통한 본인확인 절차를 거쳐 카드를 등록하게 된다.

문제는 안드로이드 폰과 달리 아이폰의 경우 등록 절차가 단순하다는 점이다. 안드로이드 폰의 경우 앱카드 등록시 통신사 가입자정보와 카드 가입자 정보를 통해 카드회원 명의의 휴대폰이 아닌 다른 휴대폰에 카드가 등록될 경우 가입 확인절차를 거치게 된다. 하지만 아이폰은 자기번호와 상관없이 앱카드 등록이 가능해 이번 사고에 악용된 것으로 추정되고 있다.

또 다른 사고의 원인으로는 스미싱을 통해 공인인증서가 빠져나갔을 가능성이다. 스미싱 문자를 통해 공인인증서와 카드번호 등 금융정보를 빼낸 뒤 카드를 등록해 돈을 갈취했을 것으로 추정되고 있다.

금감원 관계자는 "현재 금감원과 경찰에서도 조사가 진행 중에 있는 상황이기 때문에 조사결과를 지켜본 뒤 정확한 사고 원인을 파악할 수 있을 것"이라며 "우선 각 카드사에도 인증프로그램에 대한 자체 점검을 주문했다"고 말했다.

boazhoon@news1.kr