[쿠키 경제] 직장인 김모(33)씨는 1년간 모아둔 카드 영수증을 처리하려다 깜짝 놀랐다. 영수증 단 3장만으로 자신의 카드 번호는 물론 유효기간까지 알아낼 수 있다는 걸 발견했기 때문이다.

금융감독원은 지난 2006년 신용카드의 번호와 유효기간에 숫자 대신 ‘*’ 표시 등 특수처리로 번호노출을 방지할 것을 카드사 등에 ‘지도’를 통해 당부했다. 버려진 전표를 수집한 뒤 카드정보를 이용, 범죄에 악용하는 사례가 종종 발생했기 때문이다. 카드번호는 4자리씩 구분된 총 16개의 숫자로 구성돼 있다. 카드사들은 ‘지도’에 강제성은 없지만 업계 관계자들과 협의해 공문으로 관련사항 이행을 촉구했다.

이후 가맹점들은 16자리 중 구분된 4자리 숫자를 ‘*’로 표시하거나 삭제한 상태로 출력했다. 일부 가맹점은 8자리나 12자리를 없애기도 했다.

문제는 업소마다 삭제하는 부분이 달랐다는 것이다. 가령 구분된 앞 자리 네 개의 숫자를 지우는 가맹점이 있었다면 다른 업소에선 뒷 자리 네 개의 숫자를 없앴다. 때문에 영수증끼리 조합만 잘하면 쉽게 카드번호를 알아낼 수 있었다. 일부 업소에선 카드 유효기간까지 친절하게 알려줬다.



금감원은 지난해 8월 신용카드 개인회원의 카드정보 유출을 막기 위해 가맹점의 POS 단말기를 보안 강화키로 하고 보안표준 내용을 공개했다. 하지만 영수증들을 조사한 결과 가맹점의 카드 매출 전표는 보안표준 내용을 공개한 이후에도 달라진 게 없었던 것으로 나타났다.

POS 단말기는 가맹점의 판매정보를 실시간으로 관리하는 시스템으로 신용카드 결제기능이 탑재돼 있어 모든 매출정보의 수집과 분석이 용이하다.

보안표준 내용에는 POS단말기에 신용카드 중요 인증정보(CVC값, 유효기간 등)의 저장 금지, POS단말기의 카드리더기(카드정보 입력장치)로부터 신용카드 인증정보 기밀성 보장 등 보안기능을 마련했다. 또 카드번호 보호, 전표 출력시 신용카드 유효기간 출력 금지, POS단말기 관리프로그램의 패스워드 사용 및 모든 행위를 로그로 기록 유지, 운영체제 보안 강화 및 사용자에게 보안가이드 제공 등의 내용도 포함했다.

김씨 뿐만 아니라 최모(28)씨도 영수증에 카드정보가 고스란히 노출된 데 불만을 토로했다. 최씨는 지난해 10월 한 대형 영화관에서 끊은 영수증과 이날 찾은 커피 전문점 영수증을 보여줬다. 영화관 영수증엔 카드번호 16자리 중 맨 뒤 4자리를 제외한 12자리와 함께 유효기간이 그대로 인쇄됐다.

영화관에 들어가기 전 찾은 커피 전문점에선 카드번호 16자리 중 영화관에서 삭제한 숫자와는 다른 곳의 숫자 4자리가 감춰져 있었다. 두 장의 영수증만으로 카드번호 16자리와 유효기간을 알 수 있었던 셈이다.



최씨가 최근 끊은 일부 POS전표에는 카드번호와 유효기간의 삭제 위치를 잘못 설정해 엉뚱한 곳만 가려진 채 16자리 카드번호와 유효기간이 그대로 인쇄됐다.

이렇게 알아낸 카드번호는 카드사와 가맹점간 결제의 취약점을 악용할 가능성이 높다. 카드사와 가맹점간 특약을 맺은 ‘수기거래’를 할 땐 카드번호와 유효기간만으로 결제가 가능하다. TV홈쇼핑의 경우 상담원을 통한 상품 구매를 할 때 신용카드 번호와 유효기간만 불러주면 결제된다. 음식점에 음식을 주문할 때도 문제없이 결제할 수 있다.

김씨는 “영수증 내역을 적기 위해서 모아둔 것인데 오늘 한꺼번에 버리려고 했다가 깜짝 놀랐다”고 말했다.

최씨도 “차라리 식당에서 받으면 그 자리에서 찢어 버리는 게 번호 유출을 막는 데 용이할 것”이라며 “혹시나 걱정이 돼서 그날 사용한 카드 영수증을 모아서 한꺼번에 버릴 경우 더 위험하다”고 설명했다. 국민일보 쿠키뉴스 서윤경 기자 y27k@kmib.co.kr 기사모아보기