preLoad Image preLoad Image
검색 바로가기
주메뉴 바로가기
주요 기사 바로가기
다른 기사, 광고영역 바로가기
중앙일보 사이트맵 바로가기
닫기
닫기

인터넷 쇼핑 카드 영수증, 구글 통해 줄줄 샜다

6일 오전까지 구글에서 신용카드 번호 16자리 중 앞의 8자리를 넣어 검색을 하면 '영수증-이니시스'라는 결과를 볼 수 있었다. 이를 클릭하니 온라인 신용카드 매출전표가 떴다. 여기엔 고객의 이름과 결제금액, 결제일, 품목이 그대로 나와있다.



신용카드번호 8자리 검색하니
실명·거래일·사용처까지 나와
피싱·스미싱 범죄 악용될 수도
업체 "검색 안 되게 인증 강화"



구매자 실명과 거래일, 사용처와 금액이 표시된 온라인 신용카드 영수증이 인터넷 검색을 통해 그대로 노출돼 왔던 것으로 드러났다. 국내 온라인 결제 분야에서 선두권을 달리는 KG이니시스가 제공하는 신용카드 영수증이다.



 본지가 검색 사이트 구글에서 신용카드 번호 16자리 중 8자리를 넣고 검색한 결과 KG이니시스가 결제를 대행한 영수증이 나왔다. 국내 주요 카드사 고객들이 쓴 1만원대 소액 결제부터 수십만원이 넘는 결제 영수증이 그대로 표시됐다. 여기엔 상거래 채권 소멸 시효(5년)가 지난 2009년 1월의 영수증까지 있었다. 이런 영수증은 구매자와 판매자만 볼 수 있어야 하지만 일반 사람들이 흔히 쓰는 검색 사이트를 통해서도 노출됐던 것이다.



 현재 인터넷쇼핑몰 업체 가운데 독자적인 결제를 할 수 없는 곳은 KG이니시스와 같은 지급결제 대행업체를 이용한다. 고객들이 인터넷에서 신용카드로 물건을 샀을 때 대금 청구서에는 판매업체가 아닌 지급결제 대행업체 이름이 표시되는 것도 이런 이유 때문이다. 인터넷쇼핑몰은 고객이 원하는 경우 실제 신용카드 영수증과 같은 화면을 보여 주고 이를 출력할 수 있도록 한다. 검색에 걸린 정보들은 바로 이런 용도의 영수증이었다. 신용카드의 뒷자리 8개 번호와 유효기간은 별표(*)로 가려져 있지만 고객의 실명 정보가 있어 기존에 유출된 다른 정보와 결합하면 피싱이나 스미싱 같은 범죄에도 악용될 수 있다는 게 전문가들의 견해다. 이런 사실을 파악한 금융감독원도 6일 고객의 실명이 포함된 신용카드 영수증이 외부에 노출되지 않도록 하라고 KG이니시스에 요구했다.



 현재 국내엔 10여 개 지급결제 대행회사가 있으며 KG이니시스와 LG유플러스가 각각 32% 정도의 시장점유율을 기록하면서 선두 경쟁을 하고 있다(리딩투자증권 자료). KG이니시스는 2012년 매출액이 2194억원인 업체로 연간 결제대행금액은 8조원(계좌 이체 등 포함)에 이른다.



 KG이니시스 측은 “인터넷쇼핑몰이 고객에게 구매 영수증을 제공하기 위해 해당 서비스를 열어 놓았던 것으로 해킹과는 무관하다”고 밝혔다. 회사는 6일 오후 더 이상의 정보 노출을 막기 위해 신용카드 영수증 조회 서비스를 일시 중단하고 본인 인증을 한 고객만 영수증을 확인할 수 있도록 시스템을 고쳤다. 구글에도 이미 검색된 정보를 삭제해 달라고 요청했다. 업체 관계자는 “자체 조사 결과 외부로 검색된 정보는 140건 정도”라고 해명했다.



다만 LG유플러스와 같은 다른 지급결제대행회사는 없고 유독 KG이니시스의 영수증만 검색이 됐는지에 대해선 명확하게 이유를 설명하지 못했다. 김승주 고려대 정보보호대학원 교수는 "해커들은 보통 검색을 통해 확보한 공개 정보를 토대로 허점을 찾아 공격한다. 검색 사이트에 이런 정보가 잡힌다는 것은 웹페이지 설계나 보안에 허점이 있었던 것"이라고 말했다.



구글 검색을 통해 카드 고객정보가 새나간다는 것은 경찰이 4일 발표한 수사 결과로도 드러났다. 광주서부경찰서는 1월 3개 카드사의 고객정보 유출사고 이후 신용카드 번호 16자리 중 8자리를 구글에 입력하는 방식으로 신용카드 정보가 유출돼 거래된다는 첩보를 입수하고 수사에 착수했다. 경찰은 신용카드 결제기 공급·관리업체인 C사가 저장하고 있던 고객정보 1200만 건이 유출된 사실을 밝혀냈다. 직원이 10명 정도인 C사의 경우 소형마트 등의 고객명단을 엑셀 파일에 저장해 별다른 보안조치 없이 관리했고, 구글 검색에 이 파일이 그대로 노출됐다. 수사 결과 미국에 있는 해커가 이 사이트에 주기적으로 접속해 고객정보가 담긴 파일 1000개 정도를 복사해 간 것으로 파악됐다.



김원배·이지상 기자 onebye@joongang.co.kr
AD
온라인 구독신청 지면 구독신청

PHOTO & VIDEO

shpping&life

많이 본 기사

댓글 많은 기사