"누군가 카드를 부정 발급한 것으로 의심됩니다.
일단 카드 정지를 시켜드리겠습니다."
한국에서 걸려온 전화를 받고 전민석(가명, 34세)씨는 혼란스러웠다. 네덜란드에 파견 근무를 온 지 3개월이 지났다. 한국에서 내 명의의 카드가 발급됐다니? 아차 싶었다. 급히 인터넷 뱅킹에 접속했다. 통장 잔고는 마이너스 2천9백만 원이었다.
시작은 파밍이었다. 신용정보에 이상이 있으니 확인해보라는 경고가 컴퓨터 모니터에 떴고, 이 경고에 따라 보안카드 번호를 모두 입력했다. 이상이 없다는 문구를 보며 안심한 뒤 잊어버린 터였다.
며칠 뒤인 지난해 7월 16일. 사기범은 전 씨의 보안카드 번호로 국민은행에서 공인인증서를 재발급 받았다. 그리고 인터넷뱅킹에 접속해 2천9백만 원을 준비해둔 대포통장으로 옮겼다.
피해는 여기서 그치지 않았다. 전 씨의 공인인증서로 롯데카드 홈페이지에 접속했다. 카드 발급을 신청하고 이 카드로 천2백만 원의 카드론 대출을 받았다. 이 돈 역시 인터넷뱅킹을 통해 대포통장으로 옮겼고, 이튿날 현금서비스로 120만 원을 받아 챙겼다. 롯데손해보험에서 5백만 원의 약관대출까지 받아냈다. 총 피해액은 5천만 원에 이르렀다.
"저는 네덜란드에 있었고 카드 발급을 신청한 적도, 카드론 대출을 받겠다고 전화통화를 한 적도 없어요. 그런데 왜 제가 그 카드빚까지 져야 하나요?"
전 씨는 파밍 사이트에 국민은행 보안카드 번호를 입력했다. 통장은 통째로 사기범의 손에 넘어갔다. 그 피해도 억울하지만 자신이 실수한 부분을 받아들일 수 있다고 말한다. 하지만 사고가 카드사로 번진 것은 납득하기 어려웠다. 어떻게 본인과 전화 한 통화 없이 카드가 발급되고 대출까지 이뤄질 수 있을까?
사기범이 발급받은 카드는 롯데카드의 바로DC 카드였다. 인터넷을 통해 발급 신청을 할 수 있다. 무엇보다 발급 심사만 거치면 실제 카드를 받기 전에 카드번호와 유효기간, CVC번호를 인터넷으로 볼 수 있다.
카드를 받지 않아도, 등록을 하지 않아도 미리 사용할 수 있는 편리한 서비스. 라고 롯데카드는 설명한다.
그러나 김인석 고려대학교 정보보호학부 교수는 실물 카드를 받기 전에 대리카드가 지급되는 서비스는 위험하다고 지적한다.
"외국의 경우는 카드 발급이 우리나라보다 상당히 엄격합니다. 인터넷으로 발급하는 경우가 가끔 있지만 실물 카드를 전제로 발급하는 것이고, 실물 카드가 없다면 절대 대리 카드를 발급해주지 않습니다."
■"실물카드 없이 대리카드 발급은 위험"
사기범은 전 씨 공인인증서로 전화번호와 주소 등 고객정보를 바꿔버렸다. 전화번호가 변경된 지 불과 몇 시간도 안 됐지만 롯데카드는 이를 의심하지 않고 카드를 발급했다.
전문가들은 사기범들이 인터넷으로 쉽게 고객정보를 바꿀 수 있다는 점을 노린다고 지적한다. 이기동 금융범죄예방연구센터 소장은 "착신전환을 했거나 전화번호를 변경한 고객에 대해서는 인터넷 거래를 금지하거나 최소한 본인 확인 절차를 한 번 더 거쳐야 한다"고 주장한다.
전화번호를 바꾼 사기범은 전 씨 흉내를 냈다. 발급 과정에서 롯데카드는 전 씨의 주민번호를 물었다. 사기범은 정확히 대답했다. 운전면허증 번호도 물었다. 이번엔 곧바로 대답하지 못했지만 몇 시간 뒤 정확한 운전면허증 번호를 제시했고 카드는 발급됐다.
다른 카드사의 한 관계자는 신규발급과는 달리 재발급은 본인 확인 절차가 간소하다고 말한다. 만약 신규발급과정에서 운전면허증 번호를 바로 답하지 못했다면 훨씬 엄격한 심사 과정을 거쳤을 것이지만 기존 고객의 재발급이었기 때문에 무리 없이 통과했을 거라는 추측이다.
사기범이 등록한 실물 카드 수령지 주소도 가짜였고, 직장 전화번호도 허위였다. 하지만 카드는 발급됐고 대출 승인까지 이뤄졌다. 롯데카드는 이 과정에서 필요한 전 씨의 모든 정보가 정확히 제시됐다고 밝혔다.
■전화번호 바꾼 뒤 발급 신청...고객정보 변경에 속수무책
롯데카드는 전 씨가 보안카드 번호를 직접 유출했고, 이를 통해 카드 발급이 이뤄졌기 때문에 고객의 책임이라는 입장이다. 그런데 사기범은 발급과 대출 과정에 필요한 다른 정보를 어떻게 가져간 걸까? 앞서 개인 정보를 대량 유출한 건 전 씨가 아니라 카드사였다.
전 씨는 1년 전 카드사 정보유출 사태의 피해자다. 당시 롯데카드에서 전 씨의 이름, 주민번호, 계좌번호, 직장과 자택 주소와 전화번호 등 개인정보가 유출됐다. 이 정보가 범행에 이용된 건 아닌지 전 씨는 궁금하다.
롯데카드 측은 1년 전 정보유출 사태와 이번 사건 간 연관관계는 없다고 밝혔다. 전 씨가 파밍 사이트에서 직접 입력한 정보와 공인인증서로 확인할 수 있는 정보 만으로도 카드 발급과 대출이 가능했다는 설명이다.
카드사 정보유출 사태의 집단소송을 진행하고 있는 이흥엽 변호사는 정보 유출과 금전 피해 사이의 인과관계를 입증하기 어렵다고 말한다.
"역설적이게도 너무 많은 정보유출 사고가 일어났기 때문에 이 정보가 어디서 나왔는지 입증하기란 거의 불가능한 상황입니다. 피해자들 입장에선 집단구타를 당한 상태에서 누가 때렸는지 가해자를 찾는 일과 같은 거죠."
하지만 가능성 만큼은 충분하다. 전 씨의 변호를 맡고 있는 윤남호 변호사는 "정보유출 사태가 범죄자들에게는 기회와 같고, 개인정보가 유출된 사람은 범죄에 노출될 확률이 크게 오를 수밖에 없다"고 말한다. 당시 유출된 정보가 직접적인 거래를 하긴 어려운 수준이더라도 다른 범죄에 활용하기엔 충분하다는 뜻이다.
■"고객이 정보유출" 책임 없다는 카드사
롯데카드 측은 공인인증서와 전화 확인보다 더 강력한 본인 확인 절차를 거친다면 바로DC 카드와 같은 편리한 서비스를 제공하기 어렵다고 항변한다. 편리한 서비스엔 위험이 수반된다는 것을 고객이 인지하고 각자 개인정보 관리에 주의를 기울여야 한다는 주장이다.
하지만 강형구 금융소비자연맹 국장은 편리한 서비스를 통해 누가 이익을 얻는지 살펴봐야 한다고 말한다.
"인터넷을 통해 카드를 발급하면 물론 고객들도 편하겠죠. 하지만 카드사는 그만큼 비용을 줄이고 매출을 늘릴 수 있습니다. 사실 고객이 누리는 편리함보다 카드사가 누리는 매출 증대가 훨씬 큽니다."
인터넷 발급과 간편한 대출로 카드사가 이익을 누리면서도 위험에 대한 책임은 고객에게 떠넘긴다는 지적이다.
1월 11일 밤 10시 40분 KBS 1TV를 통해 방영되는 <취재파일K>에서는 카드 명의 도용 사건을 심층 보도한다.