2월 압수수색 후에도 현황 깜깜…3월에야 피해 신고 ‘늑장 대응’

한국씨티은행이 신용카드 결제용 포스(POS)단말기 해킹 사고를 경찰로부터 통보받고도 한 달여 지난 뒤에야 경찰에 피해 사실을 ‘늑장 신고’한 것으로 드러났다. 씨티은행은 경찰 통보를 받은 뒤 자사의 불법 카드 사용이 연이어 일어나는데도 사고 원인, 피해 현황 등 기초적인 사실조차 파악하지 못했다는 지적이 나오고 있다. 은행 측의 늑장 대응으로 불법 복제된 카드로 고객들의 예금이 인출되는 등 피해가 더 커진 것으로 알려졌다.

30일 검찰과 경찰, 금융감독원 등에 따르면 해킹 프로그램을 제작·유포한 주범 이모(36)씨 등 일당은 캄보디아에서 전남 목포 소재 H커피전문점 등 카드 가맹점 포스단말기를 해킹해 신용카드와 포인트 카드 정보 등을 통째로 빼냈다. 이씨 등은 유출 카드정보를 이용해 복제카드를 만들었고, 포인트카드 비밀번호와 일치한 복제카드로 캄보디아, 중국 등 해외와 국내 현금인출기(ATM)에서 현금을 인출하거나 현금서비스를 받았다.

이씨 등은 H커피전문점 포스단말기 해킹을 지난 1월 5일부터 시도한 뒤 같은 달 26일 단말기 내에 저장된 신용카드 정보 등을 모두 빼낸 것으로 알려졌다. BC·신한·삼성 등 일부 카드사들은 캄보디아, 중국 등지에서 고객 카드가 부정 사용되고 있는 사실을 파악해 1월 28일 경찰에 신고한 것으로 알려졌다. 경찰은 피해 신고 접수 뒤인 2월 초 각 카드사에 압수수색 영장을 집행, 피해 현황을 제출토록 했다.

씨티은행은 경찰의 압수수색 영장 집행 이후에도 사고 원인 등을 몰라 피해 집계조차 제대로 하지 못하다 한 달여 뒤인 3월 4일쯤 경찰에 출석해 피해 사실을 진술한 것으로 전해졌다. 업계 안팎에선 씨티은행 측에 해킹 사고와 관련한 전문가가 없어 제때 대응하지 못해 고객들의 피해를 키운 측면이 있다는 비판이 나오고 있다.

이와 관련해 씨티은행 측 관계자는 처음에는 “포스단말기 해킹 피해 사실이 없다”고 했다가 “금감원에서 3120여건이 유출됐다고 통보했다고 한다. 경찰에는 3월 4일 신고했다”고 말했다. 이어 “해킹 사고 관련 전문가가 있지만 그 사람과 직접 연결해 주는 건 힘들다”고 덧붙였다. 검찰은 지난 28일 경찰에서 보완 수사 중인 주범 이씨를 제외하고 박모(35)씨 등 일당을 기소했다.

김승훈 기자 hunnam@seoul.co.kr