세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
ATM 해킹으로 2,500여개 카드정보 유출! 300만원 부정 인출
  |  입력 : 2017-03-21 11:05
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
63개 ATM 해킹...대만에서 300만원 부정인출 성공
사건발생 6일 만에 언론보도로 알려져...신속한 공개 등 적극 대처 어려웠나


[보안뉴스 원병철 기자] 본지가 보도했던 ATM 해킹사건과 관련해 총 63개 ATM이 해킹됐으며, 2,500여개의 카드정보가 유출된 것으로 추정된다는 정부기관의 발표가 있었다. 금융감독원(이하 금감원)은 최근 편의점, 대형마트 등에 설치된 청호이지캐쉬의 ATM(또는 CD기)이 악성코드에 감염되어 카드정보가 유출됐다고 발표했다.


또한, 이번 해킹으로 유출된 카드정보를 이용한 부정인출도 대만에서 벌어져 300만원의 피해를 입은 것으로 알려졌다. 사건발생 6일 만에, 그것도 언론보도로 공개됐다는 점에서 일찍 해킹사건을 공개했다면 후속 범죄를 막을 수 있었지 않았을까 하는 아쉬움이 남는다는 지적이다.

청호이지캐쉬 운영 63개 ATM 악성코드 감염
금감원은 지난 3월 14일 경찰청 등 관계기관으로부터 청호이지캐쉬가 운영하는 ATM이 악성코드에 감염됐을 가능성이 있다는 정보를 입수하고, 사실결과를 조사해 일부 ATM이 악성코드에 감염된 사실을 확인했다.

이어 악성코드 감염과 이에 따른 카드정보 유출로 소비자 피해가 발생하는 것을 방지하기 위해, 청호이지캐쉬로 하여금 악성코드 감염이 우려되는 총 63개 ATM기기를 이용한 적이 있어 정보유출 가능성이 일부라도 있는 카드정보를 35개 해당 금융회사에 즉시 전달토록 조치했다.

또한, 지난 15이일 금융권 회의를 소집해 해외 ATM에서 해당 카드정보를 이용한 마그네틱 카드의 현금인출을 차단하는 등 인증을 강화하고, 신용카드 부정승인에 대한 모니터링을 강화하도록 조치했다.

은행 및 카드사로 하여금 정보유출 가능성이 높은 것으로 파악된 2,500여개 카드 고객에 대해서는 카드 재발급 또는 비밀번호를 즉시 변경할 것을 개별 안내하도록 지도하고, 청호이지캐쉬에 대해 경찰청 수사와 함께 금감원 현장검사를 진행했다.

이후 추가사고 발생 방지 및 보안 강화를 위해 금융회사와 금융보안원 공동으로 모든 VAN 사에 대해 특별점검을 착수하도록 조치했다고 금감원은 밝혔다.

대만에서 300만원 부정인출, 국내에서도 위장 가맹점 통한 부정승인 등 피해
금감원은 아직까지 이번 사고로 인한 금융소비자 피해는 크지 않았다고 발표했지만, 벌써 대만 등에서 300만원 정도가 부정인출된 것으로 확인됐으며, 국내에서도 위장 가맹점을 통한 부정승인이 있었다. 또한, 차단되기는 했지만 중국과 태국에서도 부정인출시도가 있었다.

부정 인출로 인한 피해는 전액 카드사에서 보상하기로 결정했으며, 혹시 발생할 수 있는 카드 부정사용에 대비하여 금융회사가 카드 정보유출 우려가 있는 고객을 대상으로 인증 강화조치에 나설 경우 다소 불편하더라도 적극 협력해 줄 것을 금감원은 당부했다. 또한, 금융회사로부터 카드정보 유출 가능성이 높다고 안내받는 경우에는 안내에 따라 카드를 교체하거나 비밀번호를 변경할 필요가 있다.

앞으로 금감원은 VAN 사가 외부 침해에 대비해 금융회사에 준하는 보안대책을 마련하도록 제휴 금융회사를 통해 적극 지도할 계획이다. 다만 ATM 운영 VAN 사는 금감원의 직접적인 감독대상 금융기관이 아니며, 제휴 금융회사를 통해 간접적으로 점검할 수 있는 전자금융거래법상 전자금융보조업자에 해당하기 때문에 강제할 수 없다는 입장이다.

아울러 금감원은 경찰청과 협력하여 카드정보의 유출 범위와 규모 등이 확정되는 대로 해당 금융회사에 통보하도록 하고, 금융회사는 이를 통보받는 즉시 해당 카드의 불법사용을 방지하기 위한 필요한 추가조치를 취하도록 지도할 예정이다.

한편, 금융회사들은 만일 카드정보 유출로 인해 부정인출 또는 부정사용이 발생하는 경우에도 금융소비자에게는 금전적 피해가 일체 발생하지 않도록 조치할 방침이다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



GDPR(유럽 개인정보보호법) 시행이 1년 앞으로 다가왔습니다. 여러분의 회사는 얼마나 준비를 하고 계신가요?
GDPR에 대한 모든 준비를 끝마쳤다
부족하지만 어느 정도 준비를 마쳤다
이대로는 어렵다. 전문가의 손길이 필요하다
전혀 준비가 안됐다. 차라리 유럽관련 사업을 접겠다
전혀 준비가 안됐다. GDPR 컨설팅 업체는 없는 건가?
GDPR이 뭐지? 잘 모른다
기타(댓글로)