국내 대형 카드회사 2곳의 기프트카드(무기명 선불카드) 정보가 중국 해커의 공격에 무방비 상태로 노출됐다.

19일 금융감독원에 따르면 중국 해커 조직이 지난해 12월부터 올해 1월 중순까지 국내 카드회사 2곳의 인터넷 홈페이지 잔액 조회 서비스에서 50만원권 기프트카드 수백 장의 비밀번호에 해당하는 CVC번호를 알아냈다.

경찰 조사 결과 중국 해커 조직은 이렇게 얻은 카드 정보를 국내 카드범죄 조직 이모씨(23)에게 넘기고 수수료 명목으로 2억8000만원 가량을 입금 받은 것으로 밝혀졌다.

이씨는 넘겨받은 기프트카드 정보를 이용해 온라인에서 모바일 상품권을 구입하고 이를 되팔아 모두 현금화했다.

기프트카드는 일반 신용카드와 거의 같고 대부분의 카드 가맹점에서 사용할 수 있는 무기명 선불카드로 50만 원 한도로 발행된다. 기프트카드는 IC칩 내장형이 아닌 마그네틱으로 만들어져 복제 위험성이 높다. 은행창구에서 살 수 있고 무기명카드이기에 누구나 카드회사 홈페이지에서 잔액을 확인할 수 있고, 카드번호와 유효기간, CVC 번호만 있으면 실물이 없더라도 온라인상에서 물건을 살 수 있다. 제3자에게 양도가 가능해 선물용으로 인기가 높다.
CVC(Card Validation Code)는 카드 유효성 검사 코드이다. 카드마다 담겨 있는 정보를 식별해주는 카드 정보 식별코드이다.

이번 정보 유출은 신용카드의 경우 비밀번호 5회 입력 오류시 서비스 제한을 두는 것과 달리 기프트카드의 경우에는 CVC 번호가 계속 틀리더라도 카드 조회를 할 수 있도록 비밀번호 입력 횟수 제한을 하지 않아 해킹 범죄에 무방비상태로 노출됐다.

금감원은 중국 해커 조직이 이런 방식으로 알아낸 기프트카드 정보가 3억원 이상인 것으로 추정하고 있다.

카드사 관계자는 “무기명 선불카드인 기프트카드는 양도가 가능하다 보니 주인이 자주 바뀌기 때문에 여러 사람이 돌아가며 잔액을 조회하다가 CVC 번호를 실수로 잘못 입력할 경우 다음 사용자가 불편을 겪게 될 것을 우려해 일부러 비밀번호 입력 횟수 제한을 두지 않았다”고 설명했다.

카드 사용 고객 윤모씨는 “2014년 카드3사의 정보유출로 카드 정보가 안전한지 불안했는데. 또다시 해킹으로 인한 정보유출이 발생하게 돼 불안하다”고 말했다.