씨티은행, 국제카드 부당인출로 골머리 ‘씨티 에이플러스 체크카드’ 고객 1만5000명

그래픽=김태길 디자이너

한국씨티은행 국제 현금카드에서 주인도 모르게 돈이 계속 빠져나가고 있다. 해킹에 노출된 씨티은행 국제 현금카드인 ‘씨티 에이플러스(A+) 체크카드’를 사용하는 고객은 1만5000명에 달한다. 이들은 해킹으로 인한 피해를 볼 수 있는 씨티은행 고객들이다. 씨티은행은 지난 4월 태국에서 씨티카드 고객을 대상으로 불법 부당인출 사건이 28건이나 터지면서 금융감독원으로부터 지적을 받고 해당 카드 거래를 중지시켰던 적이 있다. 그런데 이번엔 이와 별개로 체크카드의 부정거래사고 소식이 알려지면서 씨티은행이 골머리를 앓고 있다.

씨티은행 내부 관계자의 제보에 따르면, 씨티 에이플러스 체크카드에서 최근까지 해외부정사용 사례가 발생한 것으로 나타났다. 지난해까지3월에서 6월까지 일시적으로 해외 카드부정사용 건수가 증가하였다. 피해액은 3000만~4000만원으로 크지 않다.

이 관계자는 “피해액이 크지 않은 이유는 카드부정사용자들이 통상 무작위로 카드번호를 채번하여 부정결제를 시도하는데, 이 때 카드 의 실제 잔액을 조회할 수 없기 때문에 소액 부정거래를 시도하기 때문”이라며 “한 번에 10달러에서 20달러 수준으로 부정사용을 시도하고 있다”고 밝혔다.

씨티은행 관계자에 따르면, 씨티 에이플러스 체크카드는 타 은행 카드와 달리 해커들의 주된 공격 대상이 되는 것으로 나타났다. 다른 카드사는 대부분 국내 전용인 로컬(Local) 카드로 운영된다. 씨티은행의 경우 글로벌 은행이기 때문에 국내외 겸용 체크카드가 발급된다. 특히 씨티은행이라는 글로벌 인지도로 인해 해커들의 집중 공략 대상이 되는 것으로 나타났다.

카드번호가 노출 된 경위는 최근 발생한 태국 불법 부당인출 사건과 다르다. 이번 건은 빈 어택(BIN Attack) 방식이 사용됐다. 무작위로 카드번호를 채번하는 프로그램 공격이다. 씨티 에이플러스 체크카드의 일련번호 앞 6자리는 일률적으로 ‘4227-27번’으로 맞췄다. ‘4227-27’까지만 알면 씨티은행에서 BC카드에 라이선스를 받아 만든 카드라는 점을 쉽게 확인할 수 있는 것이다. 빈 어택은 씨티은행 카드라는 점을 알 수 있는 카드번호 앞 6자리를 부정 사용자가 확인한 뒤 나머지 8자리는 프로그램으로 무작위로 대입하여 부정결제를 시도하는 카드 부정사고의 한 유형이다.

씨티은행 부장급 관계자는 “4월23일 오전 4시37분 이후부터 4건의 카드부정사용 거래 문자가 왔다”며 “새벽 4시37분에 10달러 2건, 4시39분에 10달러 1건, 41분에 10달러 1건 등 카드 부정사용 4건이 발생했다”고 밝혔다. 모두 소액결제가 발생했고, 잔액이 있는 통장인 걸 확인한 해커가 해외에서 소액으로 계속 카드부정 거래를 한 것이다. 씨티은행 관계자는 “잔금이 있는 것을 확인하면 거래가 승인된다”며 “최근까지도 해외 부정 사용거래가 이뤄졌다는 증거”라고 밝혔다.

해당 카드는 2014년 상반기 이후로 이미 신규 발급이 중단된 상태다. 미국 최대 전자결제 업체인 페이팔과 우버에서 해외 부정사용이 자주 시도 된 것으로 파악되어 씨티은행은 지난해 7월 해당 가맹점 상대로 거래 승인을 중단했다.

내부 관계자는 “이후 해외에서 불법적으로 생기는 거래가 소강상태를 보였지만, 새로운 가맹점을 대상으로 해외 부정사용 거래가 계속되고 있다”고 밝혔다. BC카드 해외승인 담당 부서 관계자는 “씨티 에이플러스 체크카드가 지난해 부정사용이 많이 일어나 페이팔과 우버에서 이용이 안 된다”며 “제3자가 씨티은행 체크카드 번호 앞자리(BIN 번호)를 고정하고, 뒤에 카드번호만 바꿔서 계속적으로 승인한 것”이라고 설명했다.

◇씨티, 해당 카드 전면 거래정지 안해

씨티은행은 이러한 해외 부정사용에 대하여 카드의 전면 재발급, 비인증거래 전면금지 등 적극적 조처를 소홀히 했다고 지적 받는다. 공익 제보자는 “SC제일은행 등 다른 은행에서 같은 사고가 터졌을 때 해당 금융사들은 명단을 받아 일괄적으로 거래정지를 시켰다”며 “이어 고객들에게 연락을 취해 카드를 재발급 받도록 했다. 씨티은행은 해외 이용고객이 많다는 이유로 2차, 3차 피해가 우려되는 상황임에도 여전히 거래를 정지하지 않고 있다”고 지적했다.

제보자에 따르면, 씨티은행이 사건을 인지하고 세운 대책은 신규발급 중단, 사고 발생 시 해당 고객에 대한 보상인 것으로 나타났다. 씨티은행 관계자는 “씨티은행이 카드 부정사고에 소홀했다는 지적은 사실이 아니다”며 “은행은 카드 부정사용이 의심되면 즉시 고객에게 부정 사용 여부를 확인하고 거래정지 등 필요한 조처를 안내하고 빈어택으로 인한 카드 부정사용에 취약한 해외 가맹점에 대해 적극적으로 거래 중단 조치를 취하는 등 고객 보호에 만전을 기하고 있다”라고 말했다.

다만 국내에서 사고 발생 시 씨티은행이 조사 후 보상하고, 해외에서 사고 발생 시에는 BC카드가 조사하고 씨티은행이 보상하는 것으로 나타났다. 씨티은행 관계자는“해외 부정사용 대해선 씨티은행이 직접 조사를 수행해야 하나, 해당 조사 업무를 BC카드에 위임한 것”이라고 설명했다.

BC카드 관계자들은 씨티은행의 대책이 부실하다고 지적했다. BC카드 해외사고조사팀 관계자는 “사고가 터졌을 때 씨티은행이 적극적으로 행동에 나서지 않았다”며 “해외부당 사용이 발생한 카드의 전체를 빨리 거래정지 했어야 했다. 그리고 다른 번호로 교체해야 했다. 씨티은행에선 이미 해외에 나간 고객이 있다는 사유를 들었다. 결국 사고를 방지할 수 있는 골든타임을 놓친 것”이라고 밝혔다.

씨티은행 노조 관계자는 “씨티은행은 겉으론 고객만족을 내세우면서 실제론 수익성만 추구한 채 고객은 늘 뒷전”이라며 “이러한 문제점이 발생한 경우, 처음부터 BC카드와 제휴를 끊고 4227-27 BIN 번호를 사용하지 않도록 조치를 취했어야 했다”고 밝혔다. 그는 이어 “일이 터진 뒤에야 수습에 나선다. 씨티은행은 해외에서 부정사용된 카드와 동일한 상품을 소지한 카드 소지자 전원에게 알리지 않고 있다”고 지적했다. 

저작권자 © 시사저널e 무단전재 및 재배포 금지