CVC까지 유출돼 해외 결제 악용 가능성 커져
재발급·해외 결제 차단 등 소비자 대응이 핵심
[서울와이어=박동인 기자] 롯데카드 해킹으로 대규모의 고객 정보가 유출된 가운데, 온라인 결제의 최종 보안 수단으로 여겨지는 CVC(카드확인 코드) 번호까지 포함된 사실이 드러나면서 파장이 커지고 있다. 업계와 전문가들은 부정 사용 위험이 현실화될 수 있다고 경고하며, 소비자들이 카드 재발급과 해외 결제 차단 등 적극적인 대응에 나서야 한다고 지적했다.
◆ CVC 유출…해외 결제 우려 증폭
19일 카드업계에 따르면 롯데카드는 이번 해킹 사건으로 인한 유출 고객 중 약 28만명의 카드번호와 유효기간, 비밀번호, CVC 번호가 외부로 유출됐다고 밝혔다. CVC는 카드 뒷면의 3자리 숫자로, 온라인 결제 시 필수로 입력되는 정보다. 카드번호와 유효기간만으로는 결제가 불가능하지만 CVC까지 노출되면 승인 절차가 완료돼 실제 거래로 이어질 수 있다.
특히 카드 정보를 단말기에 직접 입력하는 키인(Key-in) 결제 방식이 취약 지점으로 지목된다. 키인은 카드 실물을 제시하지 않아도 카드번호·유효기간·CVC만으로 결제가 가능한 것으로, 롯데카드에 따르면 전체 330만여 개 가맹점 중 약 0.15%가 여전히 키인 결제를 허용하고 있다.
문제는 키인을 통해 해외 결제가 이뤄질 수 있다는 점이다. 해커가 유출된 카드 정보를 이용해 해외 전자상거래 사이트에서 고가 물품을 주문하거나 디지털 서비스 결제를 실행하면, 해당 물품은 추적이 어려운 제3국으로 배송되거나 디지털 상품 특성상 즉시 소비될 가능성이 높다.
피해자는 보통 카드사 명세서나 문자 알림을 통해 이상 거래를 인지하게 되며, 이때까지 다수의 거래가 이미 승인·완료돼 손해 규모가 커질 수 있다. 이후 카드사는 거래 취소와 환급을 위한 조사를 진행하지만, 판매자·배송 경로가 국제적으로 얽혀 있거나 디지털 거래인 경우에는 환불·추적이 지연되거나 사실상 불가능한 사례가 발생할 수 있다.
또한 유출된 정보가 다크웹 등지에서 대량으로 거래될 경우, 조직적인 부정 결제가 동시에 발생할 가능성도 배제하기 어렵다. 단일 피해자 차원을 넘어 수만 명의 소비자가 동시다발적으로 피해를 입을 수 있어 카드사뿐 아니라 금융당국의 신속한 대응이 요구된다는 지적이 나온다.
◆ “유출 피해 최소화, 소비자 대응이 관건”
CVC까지 외부로 유출되면서 소비자 피해 우려는 점점 커지고 있다. 해외 전자상거래나 디지털 결제 등에서 악용될 수 있다는 지적이 나오면서 소비자 스스로의 대응이 중요하다는 목소리가 나온다. 일각에서는 카드 사용 내역을 주기적으로 확인하고, 해외 결제 기능 차단이나 재발급 신청 등 선제적 조치를 취해야 한다고 강조했다.
무엇보다 가장 시급한 대응은 기존 카드를 폐기하고 새로 발급받는 것이다. 카드번호·유효기간·CVC가 모두 노출된 경우에는 추가 사용이 곧바로 부정 결제로 이어질 수 있어, 재발급을 통해 위험을 원천 차단하는 것이 최선의 방법이다. 자동결제가 연결된 서비스는 반드시 새 카드로 정보를 갱신해야 한다.
롯데카드 역시 CVC가 유출된 고객 28만명에게는 앱과 ARS를 통한 재발급 절차를 안내하고 있다. 고객은 카드 사용 정지와 동시에 새 카드를 발급받도록 권고받았으며, 회사는 모니터링을 강화해 의심 거래가 발생할 경우 본인 확인 절차를 진행할 계획이다.
CVC가 포함되지 않은 나머지 269만명 역시 안심할 수는 없다. 이들의 경우 연계정보(CI)나 가상결제코드 등이 유출돼 직접적인 카드 부정 사용에는 악용되기 어렵지만, 개인정보를 활용한 보이스피싱이나 휴대전화 불법 개통, 소액결제 사기 등 2차 피해에 노출될 가능성이 있다.
특히 신청하지 않은 카드 배송 연락을 받았을 때는 사기 가능성을 의심해야 한다. 안내받은 번호로 직접 연락하기보다는 카드사 공식 채널을 통해 확인하는 것이 안전하다.
또한 안내 메시지를 받지 못했더라도 유출 여부는 스스로 확인할 수 있다. 금융당국이 운영하는 ‘카드배송 원스톱 조회 서비스’를 이용하면 발급·배송 중인 카드를 확인할 수 있고, 롯데카드 홈페이지·앱·ARS를 통해 본인 인증 후 유출 여부를 직접 조회할 수도 있다.
현재 롯데카드는 피해 고객에 대한 전액 보상 방침을 밝힌 상태다. 실제 피해액뿐 아니라, 유출 정보와 연관성이 확인되는 2차 피해까지 보상하겠다는 입장이다. 이와 함께 모든 유출 고객에게는 연말까지 무이자 10개월 할부 혜택을 제공하고, 크레딧케어와 카드사용 알림 서비스도 무료로 지원한다. 다만 일부 서비스는 고객이 별도 신청을 해야 이용할 수 있다.
또한 롯데카드는 앱 메인 화면에 카드 재발급, 해외 결제 차단, 비밀번호 변경 메뉴를 전면 배치해 이용자가 보안 조치를 할 수 있도록 했으며, 전용 24시간 상담센터를 운영해 긴급 상황에 대응하고 있다.