자동입출금기(ATM)가 악성코드에 감염돼 개인정보가 유출되는 사건이 발생했다.

21일 금융감독원와 경찰청 등에 따르면 청호이지캐쉬가 전국 편의점과 대형마트 등에 설치한 자동입출금기(ATM) 2290대 가운데 63대에서 2500여 건의 개인정보가 유출됐다.

청호이지캐쉬는 2011년에 설립된 자동입출금기(ATM) 설치 및 유지보수업체다.

해커들은 청호이지캐쉬의 자동입출금기 전산망에 악성코드를 설치한 뒤 제어(C&C)서버를 통해 카드정보와 카드 소유자의 개인정보, 은행 계좌번호 등을 빼낸 것으로 알려졌다.

금감원과 경찰청은 악성코드가 유포된 진원지를 찾기 위해 IP추적과 제어서버를 분석하고 있다.

금감원은 청호이지캐쉬에게 일단 정보유출 가능성이 일부라도 있는 카드정보를 해당 금융회사 35곳에 즉시 전달하도록 지시했다.

특히 정보유출 가능성이 높은 것으로 파악된 고객에게 카드 재발급 또는 비밀번호를 즉시 변경하도록 권고했다. 또 금감원이 청호이지캐쉬를 직접 점검하는 것과 함께 금융보안원과 각 금융회사에게 모든 오프라인 지급결제대행(VAN)사를 특별점검하도록 주문했다.

현재까지 드러난 피해는 크지 않은 것으로 알려졌다.

다만 대만 등에서 약 300만 원가량이 부정인출된 것으로 확인됐다. 중국과 태국에서 카드가 사용됐지만 승인과정에서 차단됐고 국내에서 위장 가맹점 등을 통한 카드 부정승인이 일부 포착됐다.

대만 등에서 발생한 소비자피해는 각 금융회사가 책임진다.

금감원 관계자는 “현행법상 신용카드의 위·변조로 발생한 사고 때문에 소비자가 손해를 입는 경우에 소비자의 고의 또는 중과실이 없다면 금융회사가 책임을 지게 돼 있다”며 “정보유출에 따른 금전 부정인출 및 카드부정 이용에 따른 소비자피해는 최소화될 것”이라고 말했다.

금감원은 오프라인 지급결제대행사가 외부침해에 대비해 금융회사에 준하는 보안대책을 마련하도록 적극 지도하기로 했다. [비즈니스포스트 최석철 기자]