주메뉴바로가기 본문바로가기

비즈한국 BIZ.HANKOOK

전체메뉴
HOME > Target@Biz > 머니

[단독] 1분 만에 120만 원 사라져…카카오뱅크 보안 우려 또 다시 도마 위

지난해 유사 사고 이후 '대비책 마련' 공언했지만 또다시 발생, 이상거래 탐지 시스템도 무용지물

2018.02.28(Wed) 18:54:11

[비즈한국] 직장인 A 씨(32)는 지난 21일 오전 연달아 울리는 휴대폰 알림에 잠을 깼다. 오전 7시 22분부터 몇 초 간격으로 ‘카카오뱅크 체크카드 결제’가 울린 것이다. 불과 1분도 채 안 돼 통장에 있던 잔액 120만여 원이 10여 차례에 걸쳐 모두 빠져나갔다. 누군가 A 씨의 카드를 도용해 해외 사이트에서 결제한 것. 결제가 이뤄진 곳도 이탈리아, 캐나다, 싱가포르, 중국 등 제각각이었다. 

   

인터넷전문은행 카카오뱅크가 출범한지 7개월이 지났지만 여전히 보안 문제는 취약하다는 지적이 잇따르고 있다. 지난해 10월에도 카카오뱅크 계좌 소액결제로 98차례에 걸쳐 20만 원이 무단 인출 된 사고가 발생해 보안 문제가 도마 위에 오른 바 있다. 카카오뱅크는 대비책을 세우겠다고 공언했지만 또다시 비슷한 사례가 발생해, 우려를 낳고 있다.    

   

인터넷전문은행 카카오뱅크가 출범한지 7개월이 지났지만 여전히 보안 문제는 취약하다는 지적이 잇따르고 있다.
 사진=카카오뱅크 홈페이지


문자를 받은 A 씨는 곧장 카카오뱅크에 연락을 취했다. 그‘비즈한국’과 만나 “카카오뱅크에 문의하니 해외결제를 담당하는 마스터카드에 부정사용 신고를 해야 한다고 했다”며 “(복구까지) 최대 4개월 걸린다는 답변이 돌아왔다. 그마저도 돈을 다 찾을 수 있을지 확신할 수 없다는 답변이었다”고 말했다. 

 

카카오뱅크 체크카드는 KB국민카드가 업무를 대행하며 해외 결제는 마스터카드가 담당한다. 이 때문에 카카오뱅크가 문제해결을 위해선 대행사인 KB국민카드, 마스터카드 등과 협력해 사고 원인을 파악해야 한다. 

   

카드 정지 후 추가 결제도 있었다. A 씨는 21일 카드 재발급 신청을 하며 사용정지 상태가 됐지만 23일 또 다시 누군가에 의해 넷플릭스에서 1만 2000원이 빠져나갔다. 그는 카카오뱅크로부터 “넷플릭스가 월결제 방식이라서 카드가 정지돼도 강제매입이 들어온 것 같다고 했다. 이의신청을 해놓은 상태라 달리 방법이 없어 직접 넷플릭스에 소명을 해야 한다”​말을 들었다.   

 

A 씨가 21일 오전 받은 문자 내역. 카카오뱅크 계좌에 있던 돈이 모두 빠져나간 뒤에도 거래시도가 있었다.


A 씨는 부정사용의 원인으로 지난해 말 유럽 여행 당시 사용했던 ‘우버앱’ 결제를 의심했다. 하지만 그마저도 A 씨의 추측일 뿐이다. 그는 “정확히 어디서 정보가 빠져나갔는지 모르겠다. 확실한 건 돈이 한순간 빠져나갔고 카카오뱅크의 대응은 미흡했다”고 말했다. 

 

비슷한 사례는 또 있다. A 씨와 마찬가지로 지난해 11월 카카오뱅크 해외 부정사용을 경험한 B 씨는 “아침에 휴대폰이 울려 깼더니 국민은행에서 카카오뱅크 카드 승인 거부 메시지가 줄기차게 오더라”며 “전화해 알아보니 해외에서 이상 승인 코드가 있었다고 하더라. 승인된 것만 43건이었다”고 했다.

 

업계 관계자는 “(부정사용은) 카드 정보가 샜다는 이야긴데, 카카오뱅크 카드를 결제한 곳에서 정보가 빠져나갔을 것”이라며 “보통 부정사용은 빨리 신고하면 카드사에서 돈을 지급하는 시간이 있어서 어느 정도 복구가 가능하다. 다만 돈이 오갔기 때문에 부정사용이란 걸 증명해야 해서 시간이 오래 걸릴 것”이라고 말했다.   

 

무단 인출됐을 때 ‘이상거래 탐지 시스템(FDS·Fraud Detection System)’이 제대로 작동했는지도 따져봐야 한다. 기존 은행은 ‘FDS’라는 시스템을 사용해 일정 시간 여러 차례 결제가 되면 범죄에 악용된 것으로 보고 즉시 사용자에게 연락을 하고 거래를 정지시킨다. 하지만 카카오뱅크는 A 씨가 피해 사실을 파악할 때까지 아무런 조치도 없었다. 비슷한 사례가 지난해 발생해 대책 마련 의지를 내비쳤음에도 또 다시 피해자가 발생한 것이다.   

 

카카오뱅크는 지난해 11월 출범 100일 간담회에서 앞서 문제된 무단 인출 사고에 대해 빠른 시일 안에 보안하겠다고 밝힌 바 있다. 당시 이용우 카카오뱅크 대표는 “무단 인출 관련 문제는 기존 은행권에서도 가끔 있다. 다만 카카오뱅크는 단기간에 서비스를 하다 보니 놓쳤던 부분이 있었던 것 같다”며 “카드 안전 부분은 협력기관과 같이 해야 하는데, 부정결제를 막을 수 있는 원칙들을 만들어 빠른 시일 안에 적용할 계획”이라고 말했다. 하지만 불과 3개월 만에 또 다른 피해자가 발생했다. 

 

보안업계 관계자는 “모든 카드사엔 FDS가 있어 이상거래를 스스로 포착한다. 이번처럼 해외 거래가 동시에 연속적으로 일어났다면 당연히 FDS를 통해 이상 징후를 포착하고 카드 소지자에게 확인이 갔어야 했다”며 “FDS라고 해도 보안이 약하다는 단점은 있다. 하지만 그 경우는 FDS가 완벽히 구축되지 않았을 때다. 카카오뱅크가 FDS 시스템을 갖췄다 하더라도 아직까지 완벽하지 않다는 의문이 든다”고 말했다. 

 

이에 대해 카카오뱅크는 즉각적인 답변을 피했다. 카카오뱅크 관계자는 “구체적으로 어떤 경로로 (고객정보가) 탈취됐는지 KB국민카드 쪽에 알아봐야 FDS가 왜 작동 안 했는지에 대해 정확히 알 수 있다”며 “현재로선 고객정보까지 접근이 어렵기 때문에 정확한 답변을 드리기 어렵다”고 설명했다. 보상 책임 여부와 관련해서도 “어떤 경위로 돈이 빠져나갔는지 조사가 이뤄진 뒤에 확실히 알 수 있을 것​”​이라고 덧붙였다.

  

다만, 지난해 한 차례 보안문제가 부각된 뒤 FDS 시스템 구축을 강화했다고 강조했다. 이 관계자는 “FDS와 관련 전담 직원들의 상주시스템을 강화하고 업무대행을 맡고 있는 KB국민카드와 함께 탐지 룰을 강화하고 모니터링에 집중하고 있다”며 “시스템 적발 패턴을 공개하면 악용하는 사례가 발생할 수 있어 구체적인 운영방식을 공개하긴 어렵다”고 말했다. ​ 

김상훈 기자 ksanghoon@bizhankook.com


[핫클릭]

· 케이뱅크·카카오뱅크 갈 길 바쁜데 관련 법안 1년째 논의 없어
· 신세계 SSG카드 결제계좌 K뱅크·카카오뱅크는 '쓱' 안 돼요
· '삼중고' 신용카드업계, 공동대응 모색도 '산 넘어 산'
· 3년 동업 카카오페이와 LG CNS의 '한여름 파경' 아직까지 뒷말 까닭
· [단독] 카카오뱅크 체크카드 또 다시 결제오류 발생, 이유는?


<저작권자 ⓒ 비즈한국 무단전재 및 재배포 금지>