기사입력 2016-04-20 19:16:19
기사수정 2016-04-20 22:07:57
경찰 수사 착수 때까지 털린 사실도 몰라 ‘한심’
20일 서울역 역사 안에 설치된 승차권 자동발매기(무인 발권기) 코너. 신용카드를 꽂고 승차권을 선택하자 비밀번호를 입력하라는 화면이 떴다. 비밀번호를 누르기 전 ‘최근 자동화기기(ATM)에 카드 복제기를 부착한 사례가 있으니 카드 투입구가 화면 모습과 다를 경우 사용을 중단하라’는 경고문이 뜬 역사 밖의 은행 ATM과는 딴판이었다. 비밀번호 네 자리를 모두 입력해야 하는 점도 이례적이었다. 2014년 카드사 대규모 정보유출 사태 이후 국내 대부분 카드 결제 시스템은 비밀번호 앞 두 자리만 입력하도록 하고 있다. 이처럼 허술한 코레일의 보안의식과 승차권 발매시스템은 신용카드 도용 범죄꾼들의 좋은 먹잇감이 됐다.
|
서울 용산구 서울역사 안에 설치된 승차권 자동발매기의 모습. 대부분 은행 자동화기기(ATM)와 달리 카드 투입구에 불법 카드 복제 관련 경고 문구가 없다. 이재문 기자 |
실제 서울역과 용산역 무인 발권기에 6개월 가까이 신용카드 복제기(스키머)가 설치돼 열차 승객 188명이 애꿎은 피해를 당한 것으로 나타났다. 철도는 국가기간시설이자 다중이용시설로 분류돼 24시간 순찰하는 곳인데도 ‘고전적’인 범죄 수법에 반년 가까이 털린 셈이다.
서울경찰청 사이버안전과는 서울역과 용산역 무인 발권기 4대에서 188건의 신용카드 정보를 빼내 동일 카드로 복제한 뒤 국내외에서 1억4000만원을 인출한 혐의(여신전문금융업법 위반)로 루마니아인 A(27)씨를 구속했다고 밝혔다. 경찰에 따르면 A씨는 지난해 5~10월 해당 발권기를 이용한 피해자의 카드 정보를 빼돌려 만든 복제 카드로 올해 2∼3월 398차례에 걸쳐 현금을 인출한 혐의를 받고 있다. 또 다른 루마니아인 공범 B(35)씨는 해외로 달아났다.
경찰은 이들이 카드 투입구에 복제기를 부착하고 발권기 옆에 몰래 카메라까지 달아 범행을 저질렀다고 설명했다. 또 발권기에 대한 외부 해킹 흔적은 없는 것으로 확인됐고, 코레일 서버 해킹 가능성도 확인 중이다. 현금 결제도 가능한 이 발권기는 카드 전용 발권기와 달리 카드 투입구가 일자형이어서 복제기를 부착하기 수월했다고 한다.
|
20일 오후 서울역 무인발권기에서 시민들이 표를 구매하고 있다. 이재문 기자 |
특히 이번 수사를 통해 드러난 코레일의 보안의식은 국민 기대와는 동떨어진 것으로 나타났다. 코레일은 카드사 신고를 받은 경찰이 수사에 착수할 때까지 이런 사실을 전혀 알아채지 못했다. 특히 한 카드사가 비밀번호 네 자리를 입력하는 결제 방식은 정보가 탈취될 경우 현금 인출이 가능해지는 만큼 개선할 것을 건의했으나, 아무런 반응을 보이지 않았던 것으로 알려졌다. 특히 다중이용시설인 만큼 테러대비와 범죄예방을 위해 폐쇄회로(CC)TV가 촘촘히 설치돼 있고 경비요원이 끊임없이 순찰을 돌고 있는데도 아무도 복제기 설치 사실을 몰랐다. IC카드 전용 결제시스템을 선제적으로 적용했더라면 범행을 막을 수 있었다는 점도 아쉬운 대목이다. 범행 대상이 된 4개 발권기에서 이뤄진 카드 결제는 5만3000여건에 달했다.
더 큰 문제는 코레일이 실태 개선에 미적거리고 있다는 것이다. 경찰은 지난 달 코레일이 운영 중인 전국의 무인 발권기 359대에 대한 관리 감독을 강화하는 한편 비밀번호 입력 방식을 개선할 것을 요청했다. 하지만 한 달 가까이 지난 이날에도 서울역 무인 발권기 카드 투입구에는 경고 스티커조차 없었다. 익명을 요구한 한 카드사 관계자는 “일부 피해자의 경우 아직도 미국과 영국에서 간헐적으로 현금 인출이 발생하고 있다”고 말했다.
김승주 고려대 정보보호대학원 교수는 “이미 불법 카드 복제기가 사회문제가 된 상황에서 발권기 화면이나 스티커 등을 통해 관련 경고 문구조차 안내하지 않고, 시정도 되지 않는다는 점은 보안 담당자와 기관의 의식 수준을 보여주는 모습”이라고 지적했다. 이에 대해 코레일 관계자는 “오는 7∼8월 결제 방식을 마그네틱·IC카드 겸용에서 보안이 강화된 IC카드 전용으로 바꾸고 비밀번호 입력 방식을 개선하기 위해 카드사들과 협의하고 있다”고 해명했다.
박진영 기자 jyp@segye.com