
국내 일부 온라인 쇼핑몰 결제 과정에 실제 화면과 유사한 피싱 페이지를 삽입해 신용카드 정보와 개인정보를 대규모로 탈취한 정황이 확인됐다.
금융당국은 유출된 정보를 활용한 부정결제와 추가 자산 피해를 막기 위해 카드업계와 공동 대응에 나섰다.
5일 금융감독원에 따르면 금융보안원은 최근 국내 일부 온라인 쇼핑몰을 대상으로 한 해킹·피싱 공격으로 신용카드 정보가 탈취된 정황을 확인하고 이를 금감원에 통보했다.
유출된 카드 정보는 지난달 29일 기준 총 5707건으로 파악됐다.
금감원은 가상자산 사업 등을 빙자한 피싱·해킹에 따른 카드 부정 사용 우려가 커짐에 따라 소비자경보 '주의'를 발령했다.
공격 조직은 보안이 취약한 일부 온라인 쇼핑몰을 해킹한 뒤, 카드 결제 과정에 가짜 결제 페이지를 끼워 넣는 수법을 사용했다.
해당 피싱 페이지는 정상적인 카드 결제 과정에서는 요구하지 않는 신용카드 비밀번호 네 자리 전체와 주민등록번호 등 과도한 개인정보 입력을 유도하도록 설계됐다.
이용자가 가짜 페이지에 정보를 입력하면 '결제 오류' 등의 안내창을 띄운 뒤 정상 결제 페이지를 다시 호출하는 방식을 취했다.
소비자가 정보를 다시 입력하면 결제가 정상적으로 완료되기 때문에 해킹 피해 사실을 인지하기 어려웠다는 것이 금감원의 설명이다.
금감원은 가상자산 지갑이나 다른 사이트 무단 로그인 등 추가 정보 유출 방지를 위해 금융보안원 및 카드사와 공조 체계를 구축했다.
금융보안원은 탈취된 데이터를 카드사에 전달해 부정결제 시도를 차단하도록 지원하고 있으며, 카드사들은 정보 탈취 고객을 대상으로 개별 안내와 카드 사용 정지, 재발급 등 소비자 보호 조치를 시행 중이다.
금감원은 온라인 결제 시 주민등록번호 전체나 카드 비밀번호 네 자리 전체를 모두 요구하면 입력을 즉시 중단해야 한다고 당부했다.
정보 유출이 의심될 경우 즉시 카드사에 재발급 및 개인식별번호(PIN) 변경을 신청해야 한다.
같은 비밀번호를 다른 사이트에서도 사용하고 있다면 모두 변경해야 안전하다.
본인이 결제하지 않은 금액이 출금되는 등 피해가 발생했다면 통합신고센터 112에 신고해 지급정지를 요청하고, 사건사고 사실확인원 등을 발급받아 카드사에 배상을 신청하면 된다.
아울러 부정한 방법으로 탈취된 정보를 이용한 카드 부정 사용은 소비자에게 고의나 중대한 과실이 없다면 카드사가 보상하도록 규정돼 있다고 안내했다.
박상경 한경닷컴 기자 highseoul@hankyung.com