a
▲ NH 농협카드 유출정보 조회 서비스 캡쳐본. 각각의 항목들이 어떻게 암호화 없이 전송되는지 설명되어 있다. 개인 금융정보와 관련된 숫자들은 모자이크 처리했다. ⓒ 인터넷 화면 갈무리
카드정보 '대란' 관련해 유출 피해를 입은 고객들 중 일부가 카드사 부주의로 2차 정보 유출 위험에 노출됐던 것으로 확인됐다. 카드사들의 보안 불감증이 극에 달했다는 비판이 나오고 있다.
20일 현재 NH 농협카드는 자사 홈페이지에서 개인정보 유출 조회 서비스를 제공 중이다. 유출 결과를 확인하기 위해서는 자신의 신용카드 정보나 휴대전화 인증을 거쳐야 한다. 보안상 고객 본인이 맞는지 확인하는 절차다. 특히 신용카드 인증을 받기 위해서는 주민등록번호와 카드번호, 유효기간은 물론 CVC, 비밀번호 등 NH농협카드가 이번에 유출 '대란'에서 '털리지' 않았던 개인 결제정보까지 입력해야한다.
그러나 이 페이지에는 보안상 심각한 문제점이 있었던 것으로 드러났다. 20일 NH농협카드 관계자는 "고객이 본인 인증을 위해 입력한 카드 정보 등이 모두 입력 문자 그대로(평문) NH농협카드 사이트로 전송된 사실이 있다"고 시인했다.
"18일 오후 3시부터 자정까지 조회 고객, 전송 정보 암호화 안 돼"
통상 금융권에서는 금융 관련 정보의 전송시 해킹 위험을 방지하기 위해 반드시 암호화 과정을 거친다. 입력 문자를 그대로 보내면 해킹에 무력하기 때문이다. 지난해 5월 안전행정부(안행부)가 발간한 소프트웨어 보안취약점 진단 가이드에도 같은 내용이 수록되어 있다. 안행부는 이 자료에서 평문 전송에 대해 "통신채널 스니핑(엿듣기)를 통해 인가되지 않은 사용자에게 민감한 데이터가 노출될수 있다"면서 "개인정보, 금융정보, 비밀번호 저장시에는 반드시 암호화해서 저장하고 전송할때도 암호화해야 한다"고 강조했다.
a
▲ 허리숙인 카드 3사 대표들 KB국민카드, NH농협카드, 롯데카드사의 역대 최대 개인정보 유출사건이 벌어진 가운데 20일 오전 서울 중구 코리아나호텔에서 열린 카드 삼사의 기자회견에서 각사 대표들이 나와 사과를 하고 있다. 왼쪽부터 손경익 NH농협카드 분사장, 박상훈 롯데카드 사장, 심재오 KB국민카드 사장. ⓒ 이희훈
그러나 NH농협카드는 사건 초기이던 지난 18일에는 무방비로 서비스를 운영하다 19일이 되서야 부랴부랴 암호화 장치를 보완했다. NH농협카드 관계자는 "지난 18일 오후 3시부터 자정까지는 전송 정보 암호화가 되어 있지 않은 상태였고, 그 이후로는 암호화 작업을 추가해서 지금은 무리없이 운영되고 있다"고 설명했다.
지난 18일 오후 3시부터 자정 사이에 NH농협카드의 조회 서비스를 이용한 고객들은 CVS(카드 뒷면의 세자리 숫자), 비밀번호 등 신용카드 한 장에 해당하는 개인 금융정보들을 고스란히 해킹당했을 가능성이 있다는 의미다. NH농협카드 측은 "서비스 초기였지만 사람들이 많이 이용했던 것으로 알고 있다"면서 "자세한 조회량은 지금 파악 중"이라고 말했다.
구체적인 피해 사례가 드러나지는 않았지만 전문가들은 '해커가 마음만 먹었다면 얼마든지 정보 가로채기가 가능했을 것'이라는 반응을 보였다. 홍충선 경희대 컴퓨터공학과 교수는 "오가는 패킷에 대한 IP정보나 신호 등은 일반 해킹 도구로도 쉽게 찾아낼 수 있다"고 설명했다. 어려운 수준의 기술이 없어도 해킹이 가능하다는 것이다.
해킹 방법도 간단하다. 홍 교수는 "강남역 등 사람들이 많이 모이는 곳에서 NH농협카드 사이트가 사용하는 웹서버 주소를 가지고 해킹 도구를 이용해 무작위 캡쳐링(데이터 잡기)를 하면 그 인근에서 무선랜으로 카드 사이트에 접속하는 데이터를 잡을 수 있다"고 말했다. 이어 "잡힌 데이터가 암호화 되어있지 않으면 바로 필요한 정보를 뽑아낼 수 있다"고 덧붙였다.
누리꾼들 "금융권 서비스가 이렇게 허술? 어이없다"
이같은 사실은 금융 소비자들에게 뒤늦게 알려지며 논란이 됐다. 인터넷 IT 커뮤니티인 '클리앙'에는 20일 오전 9시 30분경 '농협 관련 유출정보 확인하지 마세요'라는 글이 올라왔다. 농협이 이미 해당 페이지의 암호화를 완료한 뒤였다.
작성자 sundory가 게재한 이 글에는 유출정보 확인 관련, 개인정보 입력창의 어떤 부분이 전송문의 어떤 부분과 1:1로 대응하는지를 화살표를 통해 상세히 표시됐다. 누리꾼 '종합비타민'은 이 글의 댓글에서 "기본의 기본이 안 되어 있다"면서 "괜히 농협만 메모리 해킹 당하는 게 아닌것 같다"고 평했다. 누리꾼 'Lucid'는 "금융권에서 (서비스가) 이렇게 허술하다니 어처구니가 없다"고 말했다.
KB국민카드 역시 지난 18일 오전까지 카드 사용자의 생년월일과 주민등록번호 끝자리만 알면 유출 여부를 확인할 수 있도록 하는 조회 서비스를 제공해 누리꾼들에게 질타를 받은 바 있다. 사실상 이름과 생년월일만 알고 있으면 누구든 10회 이내에 타인의 주민등록번호와 개인정보 유출 내역을 추가로 알아낼 수 있는 서비스 구조 때문이었다.
KB국민카드 측은 이 조회서비스를 통해 '털린' 박근혜 대통령, 반기문 UN 사무총장 등 유명인사들의 유출 관련 정보가 누리꾼들 사이에서 화제가 되자 뒤늦게 공인인증서, 신용카드, 휴대전화 인증을 도입했다. 1억 건이 넘는 고객 개인정보를 유출시켜놓고 카드사들이 정신 못 차리고 있다는 비판이 나오는 이유다.
책임감 없는 카드사들에 대한 불만이 집단소송 참여 쪽으로 이어지는 분위기도 감지된다. NH농협카드 이용자인 김아무개(33)씨는 "개인정보 유출이 이번이 처음도 아니고 해서 처음엔 무덤덤했는데 카드사들 대처하는 걸 보니까 분통이 터진다"면서 "집단소송 모집 받던데 꼭 참여할 예정"이라고 말했다.
KB국민카드 이용자인 이아무개(35)씨는 "월 300원 하는 문자 서비스 적선하듯 공짜로 해준다고 했을 때부터 문제라고 생각했다"면서 "(카드사들이) 어떻게든 책임을 져야 한다고 생각한다"고 말했다. 그는 "주변 사람들도 어느 변호사한테 해야 승소 가능성이 높은지 관심들이 많다"고 전했다.
저작권자(c) 오마이뉴스(시민기자), 무단 전재 및 재배포 금지
오탈자 신고
