카드결제기 관리업체 서버 통해 개인정보 1200만건 유출

신용카드 결제기를 관리·판매업체 서버에서 신용카드 결제정보와 회원가입 개인정보 약 1200만건이 유출된 것으로 나타났다.

광주 서부경찰서는 4일 카드결제기 가맹점에서 고객들이 신용카드로 결제한 450만건의 정보와 750만 건의 개인정보 등 약 1200만 건의 개인정보를 별다른 보안조치 없이 방치한 혐의로 금전등록기 판매·관리 업체 직원 최모(39)씨를 불구속 입건했다고 밝혔다.

경찰은 인터넷 포털 구글 검색에 특정 카드번호를 입력해 검색하면 해당 금전등록기 관리 업체의 백업서버에 접속된다는 첩보를 확보하고 수사에 나섰다.

실제 신용카드 번호 입력 결과 해당 신용카드로 결제한 내역과 결제장소, 일시, 할부 여부까지 상세히 알 수 있는 자료가 검색됐다는 것이 경찰측의 설명이다.

이 개인정보를 보기 위해 특정 미국내 아이피(IP) 주소에서 지속적으로 접속한 정황이 확인돼 2차 피해가 우려되고 있다. 경찰 수사결과, 이 주소에서 지난해 1월 부터 최근까지 한 달에 2~3차례씩 모두 20여 차례 이상 업체의 백업서버에 접속해 개인정보를 들여다 본 것으로 조사됐다.

이 같은 개인정보는 해당 금전등록기 관리업체가 백업서버에 엑셀 파일 등으로 저장해 관리한 내용으로 업체가 아무런 보안조치 없이 보관해 놓은 탓에 간단한 검색만으로도 외부에 쉽게 노출됐다.

경찰은 신용카드 결제정보와 이름, 주소, 연락처 등을 이용해 특히 피싱이나 스미싱에 이용될 가능성이 큰 것으로 보고 있다.

한편 지난 2010년 10여개 POS가맹점에서 고객정보가 유출돼 부정 사용되는 사고가 발생해 금감원과 여신전문금융협회가 POS 가맹점 단말기 보안강화 대책을 마련하겠다고 발표했지만 또 유출 사고가 발생해 비난을 면하기 어렵게 됐다.