고속도로서 술술 새는 카드정보 '눈뜬 장님' 도로공사
신용·체크카드 카드번호 서드레인지(8~12) 가리지 않아
한국도로공사 "누가 쓰레기통 뒤져서 영수증 조합하느냐"
금감원 "분명 문제 있는 것. 시정하도록 지도할 계획"
고속도로 톨게이트에서 신용·체크카드 정보가 새어나가고 있는 것으로 드러났다. 국토교통부와 한국도로공사는 이 같은 문제를 인지조차 하고 있지 못했다.
이에 금융감독당국은 뒤늦게 고속도로 톨게이트에서 일어나는 카드결제에서 문제가 없는지 여부를 점검하기로 하는 등 사후약방문식 대처에 나섰다.
23일 카드업계와 국토부에 따르면, 지난해 12월 30일부터 후불교통카드 기능이 담긴 신용·체크카드로 고속도로 통행료를 낼 수 있게 됐다.
기존 고속도로 통행료는 하이패스나 현금, 선불교통카드로만 결제할 수 있었다. 일반적으로 사용하는 신용·체크카드로 결제할 수 없었던 것.
이에 지난해 상반기 한국도로공사는 규제개혁위원회를 통해 버스나 지하철 등 대중교통 이용에 쓰는 신용·체크카드로 통행료를 결제할 수 있도록 추진했다. 모두 이용자 편의를 위한 조치다.
문제는 카드결제가 가능해졌지만, 톨게이트에서 카드번호를 제대로 가리지 않아 카드정보가 새어나가고 있다는 점이다.
실제 한국도로공사 구간에서 신용카드로 결제하면 카드번호 16자리 중 끝에 4자리가 '0000'으로 가려진다. 정상적인 카드단말기라면 '서드레인지(세번째 숫자묶음)'라고 불리는 카드번호 8번째부터 12번째 자리를 '마스킹(*)'해야 한다.
서드레인지를 제대로 가리지 않으면 두 개 영수증만으로 카드번호를 알아낼 수 있다. 이 때문에 금융감독원은 꾸준히 서드레인지를 가리도록 권고했다.
더 큰 문제는 국토교통부나 한국도로공사 모두 이 같은 문제를 파악조차 못 하고 있다는 점이다.
한국도로공사 관계자는 "영수증에 카드번호를 제대로 가리지 않았다고 해서 누가 카드번호를 알고자 쓰레기통을 뒤져서 영수증을 찾느냐"고 오히려 반문했다. 보안에 '눈뜬장님'이라는 비판이 나올 수밖에 없는 상황이다.
금융권 관계자는 "서드레인지를 가리지 않았다는 것은 가장 기본적으로 지켜야 할 단말기 보안표준을 지키지 않았다는 것"이라며 "카드결제가 일어나는 통신구간에서도 제대로 암호화하지 않았을 가능성이 크다"고 말했다.
그러면서 "보이는 게 단순히 영수증에 잘못된 마스킹뿐"이라며 "이 정도 보안수준이라면 톨게이트에서 카드번호나 유효기간과 같은 민감한 금융정보가 흘러나갈 수 있다"고 우려했다.
금감원 관계자는 "서드레인지를 마스킹하지 않으면 영수증 조합으로 카드번호를 알아낼 수 있다"며 "카드번호 조차 제대로 가리지 않은 것은 큰 문제"라고 지적했다.
그는 이어 "고속도로 톨게이트에서 일어나는 카드결제에서 고객의 카드번호를 제대로 가릴 수 있도록 지도할 계획"이라고 강조했다.
©(주) 데일리안 무단전재 및 재배포 금지
한국도로공사 구간에서 발행된 통행료 영수증에는 카드번호 서드레인지(8~12)가 가려져 있지 않다. ⓒ데일리안
![왜 떠나가는 푸바오를 보고 울었을까 [기자수첩-국제]](https://cdnimage.dailian.co.kr/news/icon/202404/news_1713955424_1354548_c.png){kind=icon}