[현장에서]소액결제 사고위험 은폐·축소 급급한 씨티은행

한국씨티은행 체크카드 이용자는 카드승인 문자나 월별 사용명세서에 늘 감시의 ‘촉’을 세우고 있어야 할 듯하다. 씨티은행이 지난해에 이어 올해도 해킹의 일종인 ‘빈어택’에 따른 카드 부당결제 사고가 이어지고 있는데도 적극적인 소비자보호에 나서긴커녕 대외적인 거짓말로 위험 수준을 축소하고 은폐하기에 급급한 까닭이다.

씨티은행은 에이플러스체크카드가 지난해 빈어택에 노출되면서 1천건 가까운 부정사용과 이에 따른 부당인출 사고를 겪었다. 올해도 3~5월 같은 유형의 사고가 잇따라 재발하고 있으며, 카드사가 이를 다 파악하지도 못하고 있다는 지적이 나온다.(<한겨레> 5월17일치 21면)

문제는 씨티은행의 대응이다. 씨티은행은 사고가 집중적으로 발생했던 지난해 6월 이후 1년이 다 되도록 문제의 카드 보유 고객에게 이런 위험을 제대로 알리지도 않았고, 언론이 취재에 나서자 거짓말로 축소 대응하기에 바빴다. 처음 이 문제 내부고발에 나섰던 씨티은행 노조는 잠재적 피해자가 될 에이플러스체크카드 보유 고객을 1만5천명가량으로 추정했고, 씨티은행 쪽도 <한겨레>의 질의에 여러 차례 1만5천명이 맞다고 재확인했다. 하지만 <한겨레>가 이 문제에 대한 검사 여부를 검토하고 나선 금융감독원 등을 취재한 결과 에이플러스체크카드 고객은 5만9천명에 이르는 것으로 드러났다. 이에 씨티은행 쪽은 “제대로 확인하지 못했다. 실수였다”고 해명했지만, 이는 궁색한 거짓말에 가까워 보인다.

빈어택은 페이팔, 우버, 아마존 등 글로벌 회사가 결제편의를 높이기 위해 카드번호·유효기간 등의 정보를 저장한 뒤 소액결제는 별도의 비밀번호 인증 없이 카드번호만 입력하면 되는 비인증 거래 방식을 채택하는 점을 노린 것으로, 카드번호 무작위 생성 프로그램을 활용하는 해킹 공격이다.

씨티은행은 5만9천여명의 소비자를 1~50달러 소액결제 공격 위험 속에 그대로 방치했다. 금융사고가 아닌 단순 부정사용으로 보아 금융당국에 따로 보고한 바도 없다. 국내 카드 업계에선 이럴 경우 카드를 전면 재발급하거나 빈어택이 일어난 페이팔 등 국외 비인증 거래를 제한하는 게 근본적인 소비자보호 대책이라고 설명한다. 실제 에스시(SC)제일은행 등은 이런 방식으로 대응했다.

이런 대책을 채택하지 않은 씨티은행은 “선량한 소비자가 불편을 겪지 않아야 한다는 점을 고려했다”고 설명했다. 하지만 적어도 카드 보유자에게 빈어택 위험에 노출된 사실을 공지했어야 한다는 지적이 나온다. 이렇게 하지 않은 것은 은행의 이익을 위해 고객이 위험을 감수하도록 했다는 비판을 받을 수밖에 없다.

카드 전면 재발급이나 위험 공지 등은 기존 고객이 이탈할 가능성이 크다. 하지만 사고 뒤 뒷전에서 슬그머니 보상할 경우 은행은 금전적 손해를 볼 게 없다. 돈은 어차피 페이팔 등이 물어주기 때문이다. 빈어택은 언제든 재발할 수 있다. 소비자에게 전적으로 넘어간 위험부담에 대해 금융당국이 어떤 판단을 내릴지 궁금해지는 이유다.

정세라 기자 seraj@hani.co.kr

◎ Weconomy 홈페이지 바로가기: https://www.hani.co.kr/arti/economy/
◎ Weconomy 페이스북 바로가기: https://www.facebook.com/econohani/