결제 시 마그네틱 이용한다면 IC칩 삽입돼 있어도 무용지물    
[보안뉴스 김지언] 지난 9일 본지가 보도한 ‘IC카드도 복제엔 속수무책’ 기사와 관련해 제보자 K씨의 체크카드가 IC 및 마그네틱(MS) 겸용카드인 것으로 확인되면서 IC칩 뿐만 아니라 마그네틱에 의한 복제 가능성도 제기되고 있다.


 ▲ 왼쪽 마그네틱 선, 오른쪽 IC 칩
현재 대부분의 카드 가맹점들은 카드를 긁는 방식의 기존 단말기(MS 전용)를 사용하기 때문에 IC카드라도 가맹점에서 카드를 긁을 경우는 MS카드와 같은 방식으로 손쉽게 복제가 가능하기 때문이다. 

이와 관련 본지에서는 해당 카드사와 연락을 취해 좀더 자세한 내막을 살펴봤다.

IC카드의 경우 무조건 뒷면에 마그네틱 띠가 있는가?(IC카드의 경우 무조건 MS카드 겸용인가?)
대부분의 카드가 그렇다. 현재 대부분의 카드결제 가맹점에서 MS카드 전용 단말기(긁는 방식)를 사용하기 때문에 카드 이용의 용이성을 위해 겸용 카드가 발급된다. 이러한 겸용카드는 앞면에는 IC칩이, 뒷면에는 검은색이나 회색 등으로 된 마그네틱 선이 있다.

제보자의 카드가 MS카드 겸용 IC카드인 것으로 확인됐다. 이렇듯 IC카드라도 MS카드와 같이 뒷면에 결제정보가 담긴 마그네틱 선이 있다면 MS카드와 같은 방식으로 카드 위변조가 가능할 것으로 보이는데 어떻게 생각하나?
그렇다. IC카드일 경우라도 뒷면에 마그네틱 선이 있을 경우 MS카드와 같은 방식으로 카드 위·변조가 가능하다.

그렇다면 IC칩에 의한 카드복제보다 IC카드 뒷면에 있는 마그네틱 선을 이용한 카드 위변조 가능성이 높을 것으로 보이는데 어떻게 생각하나?
그렇다. 현재 많은 매장에 IC카드 겸용 단말기가 설치돼 있지만 대부분 카드를 삽입(IC카드 전용)해 결제하지 않고 카드를 긁는 방식(MS카드 전용)으로 결제를 진행하고 있다. 그렇다보니 IC칩이 복제됐을 가능성 보다는 IC카드 뒷부분의 마그네틱 선으로 카드 정보가 유출됐을 가능성이 크다.

덧붙이자면 많은 매장에서 카드 정보가 컴퓨터에 그대로 남는 ‘POS 단말기’로 카드 정보를 읽고 있다. 이는 카드 뒷면의 마그네틱 선을 통해 들어온 카드번호, 유효기간 등의 정보를 단말기 컴퓨터에 저장하고 있어 이를 해킹해 카드를 복제하거나 가맹점 자체에서 이를 악용했을 가능성도 높다.

그럼 이번 사건에서 IC칩이 복제됐을 가능성은 없는가?
아주 없진 않지만 IC칩이 복제됐을 가능성은 거의 없다고 보면 된다. 카드사는 부정매출(카드 고객이 결제하지 않았음에도 불구하고 결제 요청이 오는 것)이 일어난 가맹점의 이름을 확인할 수는 있지만 어떻게 이러한 부정매출이 발생했는지 사실을 확인할 방법이 없다.
 
따라서 부정매출이 IC칩 복제로 인한 것인지, IC카드 뒷부분에 있는 마그네틱 선에 의한 것인지, 카드정보가 유출되어 생긴 피해인지는 정확히 확인할 수 없다. 다만 오프라인 매장에서 결제가 발생했기에 카드복제로 인한 피해로 추정하고 있다.

덧붙여 IC칩의 경우 마그네틱보다 보안이 강화됐고 복제가 어렵기 때문에 범죄자 입장에서도 상대적으로 많은 비용과 기술이 필요한 IC칩을 복제할 이유가 없으며, 현재까지 IC칩이 복제돼 결제된 사례는 밝혀진 바가 없는 것으로 알고 있다.

피해자가 자신의 카드는 IC카드인데 복제될 수 있냐고 묻자 카드사 측에서 이러한 부가설명 없이 IC카드도 복제될 수 있다고만 답변한 것으로 알고 있다. 어떻게 된 것인가?
카드사는 어떤 방법으로 카드정보가 유출되어 부정결제가 발생했는지 알 수 없고, IC칩 역시 복제가능성이 없다고 단언할 수 없어 그렇게 답한 것 같다. IC칩도 복제가 어려울 뿐이지 100% 막을 수 있는지는 확인할 수 없기 때문이다.

마그네틱 선을 통해 결제가 된다면 IC칩이 포함된 카드로 교체하는 것이 무의미한 것 아닌가?
사실 그런 입장이다 그래서 금융당국에서도 MS단말기를 IC칩 단말기로 교체하는 작업을 논의 중에 있다. 다만 IC카드의 경우 MS카드보다는 복제가 어렵기 때문에 IC칩 단말기로의 교체 전에  미리 IC카드로 교체하는 것이다.
피해자 카드로 부정매출이 발생한 미국 유명 백화점 M사의 경우 온라인과 오프라인 모두에서 상품을 파는 걸로 아는데, 온라인에서 결제됐는지 오프라인에서 결제됐는지 확인할 수 있는 방법이 있나?온라인과 오프라인에서 다른 방식으로 결제되기 때문에 내부 시스템에서 온·오프라인 구분이 가능한데, 이번 사건의 경우 오프라인 결제로 확인됐다.

처음 고객의 카드로 결제 요청이 온 시각은 오전 9시인데, 고객에게는 오후 6시에 통보됐다. 고객에게 통보된 시간이 많이 지연됐는데 이유가 있나?
일단 조치를 취하고 대응을 하다 보니 오후가 되서야 고객에게 통보할 수 있었다.

종합하면 카드사 측에서는 이번 해외 부정매출 사건이 IC카드 뒷면의 마그네틱 선으로 결제해 생긴 정보유출로 추정하고 있으며, IC칩이 복제됐을 가능성은 매우 낮다고 밝혔다. 그러나 정확한 유출경위가 확인되지 않는 만큼 사용자들의 각별한 주의가 필요하다.
 

이번 사례처럼 카드 사용자들이 자신의 카드가 위·변조 되는 것을 예방하기 위해서는 카드결제 시 되도록 카드를 삽입해서 결제하는 방식인 IC칩 전용 단말기로 카드 결제를 해야 한다.

또 결제 후에는 명세서와 영수증을 꼼꼼히 비교하고, 카드 결제 시 문자메시지로 결제내역을 알려주는 알림서비스를 신청해 실시간으로 결제내역을 확인해야 한다.
 
이외에도 자신도 모르는 사이 카드 위변조 피해를 당했을 수 있으므로 3년간의 카드결제 내역 점검이 필요하다.
[김지언 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>