카드 부정사용 방지 시스템도 허점…신고후 결제대금 청구 보류 안돼 대금 빠져나가기도
금감원 경징계 조치…"고객에 불편 줬지만 제재근거 뚜렷지 않기 때문"
(서울=연합뉴스) 홍정규 기자 = 한국씨티은행이 체크카드 이용 고객들의 피해를 45일 넘게 보상하지 않은 것으로 드러나 당국의 제재를 받았다.
13일 금융감독원에 따르면 씨티은행의 '에이플러스(A+) 체크카드' 이용자들은 자신이 사용하지 않은 해외 가맹점에서 결제가 승인돼 계좌에서 결제대금이 무단 인출되는 피해를 봤다.
미국의 페이팔 가맹점에 '빈(BIN·Business Identification Number) 공격'이 발생, 해당 가맹점에서 씨티은행의 A+ 체크카드가 부정 결제된 것이다. 빈 공격은 카드 일련번호의 앞 6자리가 특정 은행의 특정 상품을 나타내는 번호라는 점을 노려 카드번호를 알아내는 수법이다.
씨티은행 A+ 체크카드는 이 같은 공격에 노출됐으며, 지난해 1월부터 올해 4월까지 신고된 피해는 수백 건, 피해 금액은 수천만 원인 것으로 알려졌다.
씨티은행은 직접 피해를 신고한 고객에 대해선 피해보상과 해당 가맹점 결제 차단 등의 조치를 했지만, 피해를 신고하지 않은 고객에 대해선 카드 사용 여부나 피해 유무를 확인하지 않은 것으로 나타났다.
금감원은 "고객 확인 등을 통해 미사용 건을 신속히 파악하고, 피해 고객에 대한 보상 처리 방안을 적극적으로 강구하라"고 씨티은행에 주문했다.
피해를 신고한 고객도 사용 금액의 결제대금 청구가 즉시 보류되지 않은 탓에 3∼7일 안에 계좌에서 결제대금이 빠져나갔다.
금감원은 "신용카드는 부정 사용을 신고하면 결제대금 청구 보류 절차를 통해 대금이 즉시 인출되지 않도록 조치한다"고 지적했다.
또 씨티은행은 결제대금이 빠져나간 고객에 대해서도 해외 가맹점의 환불 처리(charge back) 절차를 마칠 때까지 부정 사용을 보상하지 않아 45일 이상 걸리는 등 "고객 보상이 상당 기간 지연되는 문제점이 있다"고 금감원은 밝혔다.
금감원은 "가맹점의 환불 처리 절차와 별도로 부정 사용으로 판단되는 건에 대해선 보상을 우선 실시하는 등 부정 사용 보상 절차를 개선하라"고 요구했다.
씨티은행은 보상 절차의 문제뿐 아니라 원인 규명, 고객 보호, 재발 방지 등 후속 조치를 제때 하지 않은 것으로 나타났다.
카드를 발급하는 모든 금융회사는 부정사용 방지 시스템(FDS)을 운영하게 돼 있다.
씨티은행은 FDS 운영 등 카드 부정사용 예방 관련 업무를 실무자 선에서 전결 처리했다. 이런 탓에 경영진 차원에서 고객 보호와 재발 방지 등 종합적·체계적 대응을 하지 못했다고 금감원은 지적했다.
또 씨티은행이 도입한 FDS의 외부 용역 서비스는 계약이 2015년 말 종료됐는데도, 지난해 6월에야 새 시스템을 도입하기로 했다. 이 기간 비용 절감을 위해 자체 시스템으로 운영했지만, 다른 시스템에 비해 허점을 보였다고 금감원은 설명했다.
금감원은 검사 결과를 토대로 씨티은행에 대해 경영유의 2건, 개선요구 2건의 제재를 의결했다.
금감원 관계자는 "고객에게 불편을 줬고, 피해 보상 절차나 시스템의 미비점도 드러났지만, 관계 법령을 위반하지 않는 등 제재 근거가 뚜렷하지 않아 경징계로 결론을 내렸다"고 말했다.
zheng@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>
