카드정보를 빼내기 위해 은행 창구 ATM에 직접 카드정보복제기를 설치하는 대담한 수법이 국내서도 적발돼 대책 마련이 시급하다는 지적이다.
지금까지 카드 복제는 보이스피싱, 파밍 등을 악용해 신용카드, 현금카드에 대한 정보를 수집한 뒤 복제카드를 만들어 현금을 인출하거나 불법결제하는 경우가 많았다. 그러나 최근에는 범죄자들이 대담해져서 ATM에 아예 대놓고 일명 '스키머(Skimmer)'라 불리는 카드정보복제기를 설치해 정보를 빼가는 등 기법이 더욱 진화했다.
■국내서도 스키머 사기 기승
지난해부터 등장하기 시작한 스키머 악용 사기는 시중은행 ATM에 카드 복제기와 초소형 카메라가 설치해 카드 마그네틱 부분에 저장된 카드번호, CVC와 함께 사용자가 입력하는 비밀번호 등을 유출시키려는 시도를 발견해 경찰이 수사에 나선 바 있다.
지난 7일 경기도 구리경찰서는 카드 복제기와 훔친 개인정보를 악용해 가짜 신용카드를 만들어 금은방에서 결제를 시도하려던 10대 일당이 덜미를 잡혔다.
가장 최근인 21일 서울경찰청 사이버안전과는 신용카드 위조 국제범죄조직과 연계, 공모해 지난해 5월~10월께 기차역에 설치된 무인 발권기로부터 카드정보를 유출시켜 1억4천만원을 부정 인출한 루마니아 국적 국제범죄조직원 1명을 구속하고, 달아난 공범을 수배 중이다. 이들은 국내 신용카드 사용 고객 188명의 정보를 훔쳐 지난 2월14일부터 3월12일까지 398회에 걸쳐 국내외에 설치된 ATM에서 돈을 인출한 것으로 확인됐다.
■해외서는 가짜 숫자키패드까지 등장
스키머를 악용해 유출시킨 카드정보로 복제카드를 만들어 현금을 인출하거나 결제하는 사기는 국내보다는 미국, 유럽 등 해외에서 많이 쓰였던 범죄수법이다.
보안전문가 브라이언 크랩스가 운영하는 블로그인 크렙스온시큐리티에 따르면 미국에서 2010년께 등장한 스키머 중에는 카드를 넣고 빼는 부분에 부착하는 기기 외에도 비밀번호를 훔쳐내기 위해 기존 숫자입력패드에 덮어 씌우는 기기까지 판매되고 있는 실정이다.(관련링크)
이 블로그에 따르면 글로벌 ATM 제조사로 유명한 '다이볼드(Diebold)'가 제작한 ATM만 노리는 스키머의 경우 당시 기준 1천500달러에 블랙마켓에서 판매되고 있었던 것으로 확인됐다. 다이볼드 ATM을 노린 스키머 중에는 기기를 직접 떼내다가 발각되는 위험을 줄이기 위해 해당 기기와 블루투스나 이동통신망(GSM)으로 연결해 정보를 전송하는 기능까지 갖춘 경우도 있었다. 이들 기기는 2천달러~2천500달러선에 거래됐다.
■IC카드로 전환이 최선책
금융당국에 따르면 현재 나온 스키머 대응 방안 중 가장 확실한 것은 현금인출이나 카드결제시 마그네틱 카드 대신 IC카드를 쓰는 것이다. 카드 뒷면에 마그네틱 부분에 카드정보가 저장되는 방식은 보안에 취약한데다가 복제카드를 만들기 쉬워 범죄자들에게 악용되는 경우가 많았다. 반면 IC카드는 카드와 관련된 정보가 암호화된 형태로 별도의 칩 안에 저장된다는 점이 특징이다. 적어도 오프라인에서 스키머에게 당할 위험이 줄어들게 된다.
금융감독원 여신전문검사실 상시감시팀 김병칠 팀장은 "현재 ATM에서 현금을 인출할 때에는 아예 마그네틱 카드를 못쓰도록 막아 놓았다"며 "2018년 7월부터는 가맹점에서도 마그네틱 카드 대신 IC카드만 쓰도록 할 계획"이라고 밝혔다.
관련기사
- ATM서 몰래 돈 뽑는 신종해킹 등장2016.04.22
- 신용카드 필요 없는 ATM 등장2016.04.22
- 스마트폰 문자로 ATM서 돈 빼는 해킹 등장2016.04.22
- USB로 ATM서 돈 빼가는 신종해킹 등장2016.04.22
여신전문금융업법에 따르면 유예기간을 거쳐 오는 2018년 7월부터 일반 상점 등에서도 마그네틱 카드 사용이 전면 금지된다. 현재는 현금인출 기능을 쓰기 위해서는 반드시 IC카드를 쓰도록 하고 있다. 그러나 일부 인출기는 여전히 마그네틱 카드도 지원하고 있으며, 각종 상점에서 결제시에도 IC카드와 함께 마그네틱 카드를 지원하고 있는 실정이다.
김 팀장은 "카드복제사기의 경우 이를 복제하려는 범죄자들과 막으려는 은행 및 감독당국 사이 창과 방패 싸움을 하는 것"이라며 "기존 ATM에 평소와 다른 기기 혹은 카메라가 설치돼있는지를 점검하는 관리적인 조치도 필요하다"고 조언했다.