금융당국이 카드 결제단말기에 대한 집중 점검을 통해 고객 카드번호를 확실히 보호하도록 강력히 지도했기 때문이다.
7일 금융권에 따르면 금융감독원은 최근 카드 결제 단말기에 대한 전수 조사를 벌여 고객 카드번호 보호 규정을 제대로 지키지 않은 영세 단말기업체에 대해 긴급 시정 조치를 내렸다.
금감원은 이번 단속에서 모든 단말기업체에 카드 번호 16자리 중 '서드 레인지(third range)'라고 불리는 9∼12번째 자리를 의무적으로 가리고, 카드 유효기간도 영수증에 노출하지 않도록 지도했다.
금융당국 관계자는 "카드 영수증의 정보 유출 문제가 제기된 뒤 지난해 말에 전수 조사를 벌였다"면서 "대부분 카드번호 보호 규정을 지키고 있었으나 일부 영세업체는 제멋대로 하고 있어 곧바로 시정하도록 했다"고 밝혔다.
카드업계와 여신금융협회는 2008년 신용카드 번호 중 '서드 레인지'를 가리도록 권고한 바 있다. 신용카드 번호는 16자리로 돼 있다. 신용카드를 사용하면 영수증에 카드번호 일부분과 유효 기간이 별표(*)로 표시된다.
전화나 인터넷 쇼핑은 카드 번호와 유효기간만 알면 결제가 가능하므로 신용카드 영수증을 이용한 범죄에 악용되는 것을 막기 위해서다.
그러나 단말기마다 가려지는 숫자가 달라 영수증을 몇 개만 모으면 카드번호 16자리뿐만 아니라 유효기간까지 모두 알 수 있어 심각한 문제로 지적돼왔다.
일부 카드 단말기 제조업체는 9∼12번째 숫자 대신에 다른 숫자를 가리는 경우가 적지 않았다. 어떤 카드단말기는 카드번호 숫자를 지우는 기능이 아예 없는 일도 있었다.
소비자문제연구소 컨슈머리서치가 국내 10개 카드사의 결제영수증 1천장을 점검해보니 카드번호 16자리 중 별(*)표로 가리는 마스킹 위치가 모두 제각각 이었으며, 이 중 13장에는 카드 유효기간도 표시돼 있었다. 심지어 카드번호와 유효기간이 모두 노출된 영수증도 일부 발견됐다.
이에 따라 금융당국은 올해 신한카드, 국민카드, 삼성카드 등 카드사와 카드 단말기업체를 대상으로 신용카드 번호 보호를 제대로 하는지를 상시 감시할 방침이다.
금융당국 관계자는 "개인 정보 노출로 인한 피해의 여지가 있다면 이를 원천적으로 차단할 것"이라면서 "카드단말기에서 신용카드 번호와 관련해 서드레인지 규정을 지키지 않으면 관련 업체를 중징계할 것"이라고 말했다.
카드사의 대규모 고객 정보 유출을 막기 위해 내부 통제 강화 여부도 올해 종합검사 등에서 중점적으로 들여다볼 계획이다.
삼성카드 직원은 2010년 1월부터 2012년 8월까지 196회에 걸쳐 해킹해 고객정보 192만여건을 조회하고 47만여건을 자신의 노트북에 옮겼다가 들통났다.
하나SK카드 직원은 2012년 7월 9만7천여건의 고객 정보를 개인 이메일로 보냈고 이 가운데 5만1천여건을 외부로 넘겼다가 적발됐다.
금융당국 관계자는 "카드사가 고객 정보 등을 제대로 관리하지 못하는 등 내부 통제가 문제점이 발견될 경우 경영진까지 엄중히 처벌할 방침"이라고 덧붙였다.