황석진 동국대 국제정보보호대학원 교수
신용카드 온라인 거래가 늘면서 신용카드 범죄 양상도 바뀌고 있다. 1982년 국내에 신용카드 제도가 도입된 이후 신용카드 범죄는 타인의 신용카드를 사용하는 범죄와 급전이 필요한 사람들에게 물품을 판매한 것처럼 허위 매출을 일으킨 후 고액의 선이자를 공제하고 차액을 현금으로 지급하는 ‘카드깡’ 범죄가 대부분이었다.
특히 제3자의 신용카드 범죄는 분실·도난된 카드의 부정 사용이 압도적이었다. 하지만 최근 들어 개인정보를 도용한 언택트 범죄가 기승을 부리고 있다. 지난 6월 언론에 보도된 것처럼 다량의 신용카드 정보가 유출돼 특정 프로그램을 통해서만 접속이 가능한 ‘다크웹’ 거래가 이뤄지고, 해당 정보가 가공돼 온라인 암시장에서 부정 사용되는 식이다. 이런 범죄는 신용카드 위변조와 정보 도용, 분실·도난 카드 부정 사용 등으로 카드깡과는 차원이 다르다. 국민 누구나 피해자가 될 수 있는 불특정 다수를 상대로 한 중대 범죄이자 금융 질서를 위협하는 가장 파렴치한 금융범죄라고 할 수 있다.
금융 당국은 위변조와 온라인 범죄에 악용되는 신용카드 정보 유출을 막기 위해 2013년 2월 IC카드 전환 정책을 추진해 2015년 전면 도입했다. 거래 승인 방식도 2018년 7월 신용·체크카드 IC 결제 우선 승인제를 실시했다.
그러나 신용카드 정보 유출에 따른 위변조와 온라인 부정 사용 범죄는 근절되지 않고 있다. 카드 결제 단말기인 포스(POS) 해킹을 통해 신용카드 정보가 꾸준히 빠져나가고 있다. 아직까지 전 세계적으로 신용·체크카드 발급 때 마그네틱과 IC칩이 모두 내장된 카드를 발급하고 있는 데다 가맹점 중에는 구형 포스 단말기를 사용하는 곳도 있고, IC 카드보다 마그네틱 카드로 결제하는 곳도 적지 않기 때문이다. 포스 단말기에는 마그네틱 카드를 사용할 때마다 마그네틱 내 카드번호와 유효 기간 등 모든 신용카드 정보가 저장된다. 하드와 소프트웨어로 이뤄진 일반 PC와 같아 범죄 조직들의 해킹 표적이 되고 있다.
이 외에도 신용카드 정보가 유출되는 통로는 다양하다. 2017년 3월 북한 해커가 국내 현금자동입출금기(ATM)를 해킹해 수백 명의 정보를 빼내 간 것처럼 ‘ATM 해킹’을 통해 빠져나가기도 하고, 임의의 카드번호를 생성한 후 카드 유효성 검증을 위해 특정 가맹점에서 위장 승인을 내는 ‘빈 어택’(Bin Attack)으로 빠져나가기도 한다.
최근에는 디지털 신기술을 악용한 신종 범죄 수법이 판치고 있다. 소셜네트워크서비스(SNS)를 활용한 ‘스미싱’ 수법으로, 신용카드 정보와 인증 문자를 빼내 부정 사용하는 범죄다. 스마트폰에 악성 애플리케이션을 몰래 깔아 개인정보를 빼낸 뒤 해당 정보를 이용해 돈을 편취하는 범죄가 대표적이다. 사용자는 자신의 정보가 어떤 경로로 빠져나갔는지 인식하지도 못한다. 가족이라고 사칭하는 자에게 자신의 신분증과 신용카드 정보, 비밀번호까지 노출하기도 한다.
본인 부주의나 과실로 정보가 유출돼 부정 사용이 발생하면 금전적인 보상을 받기가 상당히 어렵다. 비밀번호 누설에 대한 책임은 대부분 소비자의 귀책 사유이기 때문이다.
디지털 신기술을 악용한 신종 범죄가 널리 퍼지면서 개인정보 관리 책임의 중요성은 더욱 강조되고 있지만, 신종 범죄 방지 기술은 범죄를 따라가지 못하고 있다. 범죄를 막기에는 아직 역부족이다. 신종 범죄 수법으로 인한 피해 금액을 전적으로 금융기관에서 부담하는 것도 쉽지 않다. 피해 금액을 금융기관이 전적으로 부담하면 부담한 금액은 정상적인 사용자의 서비스 축소 등으로 옮겨 갈 수밖에 없고, 카드 이용자의 도덕적 해이를 어떻게 막을 수 있을지에 대한 고민도 필요하기 때문이다.
수사 당국과 금융 당국은 디지털 신기술을 악용한 신종 금융사기 범죄 전반에 대한 대응책을 수립하고, 범죄를 막을 수 있는 기술을 서둘러 개발해야 한다. 금융기관은 언택트 시대의 신종 범죄수법을 차단할 수 있도록 이상거래탐지시스템(FDS)을 고도화해 유사 피해의 확산을 조기에 차단하고 효과적인 소비자 피해구제 제도를 마련해야 한다.
2020-09-08 31면
