한국씨티은행이 정보유출사고를 뒤늦게 대응해 해외계좌에서 고객 모르게 돈이 빠져나가는 사고가 발생했다.

10일 금융권에 따르면 8일~9일 이틀동안 태국에서 한국씨티은행 계좌를 통해 고객 모르게 돈이 인출됐다.

액수는 구체적으로 알려지지 않았지만 28명의 계좌에서 피해가 발생한 것으로 금감원은 파악했다. 용의자들은 거액을 빼내려했지만 잔고 부족으로 실패하자 액수를 줄여 인출한 것으로 전해졌다.

이번 사건은 3월에 자동입출금기(ATM) 전문업체인 청호이지캐쉬가 편의점과 할인마트 등에 설치한 자동입출금기에서 유출된 개인정보가 사용됐다.

해커들은 청호이지캐쉬의 자동입출금기 전산망에 악성코드를 설치한 뒤 제어(C&C)서버를 통해 카드정보와 카드 소유자의 개인정보, 은행 계좌번호 등을 빼낸 것으로 알려졌다.

금융감독원은 당시 각 금융회사에 정보가 유출된 고객의 카드거래를 정지하고 고객들에게 연락을 취해 카드 재발급 및 비밀번호 변경을 하도록 지시했다.

그러나 한국씨티은행은 해외에서 현금을 찾는 고객이 많다는 이유로 카드거래를 정지하지 않은 채 카드 재발급과 비밀번호 변경만 안내했다.

한국씨티은행 관계자는 "다른 은행과 달리 해외에서 씨티카드로 현금을 인출하는 고객이 다수인 만큼 이를 정지시킬 경우 더 큰 불편과 문제를 불러일으킬 수 있다"고 판단했다며 "현재는 해당카드의 해외거래를 모두 중지시키고 재발급을 안내하고 있다"고 말했다.

한국씨티은행은 뒤늦게 정보가 유출된 고객의 카드를 거래정지하고 피해액은 이번주 안에 보상하기로 했다. 현행법상 신용카드의 위·변조로 발생한 사고 때문에 소비자가 손해를 입는 경우 소비자의 고의 또는 중과실이 없다면 금융회사가 책임을 지게 돼 있다.

금감원 관계자는 “사실관계를 파악한 뒤 징계 여부를 결정할 것”이라고 말했다. [비즈니스포스트 최석철 기자]