13일 금융감독원에 따르면 씨티은행의 '에이플러스(A＋) 체크카드' 이용자들은 직접 사용하지 않은 해외 가맹점에서 결제가 승인돼 계좌에서 결제대금이 무단 인출되는 피해를 봤다.

미국의 페이팔 가맹점이 '빈(BIN·Business Identification Number) 공격'을 받아 씨티은행의 A＋ 체크카드가 부정 결제된 것이다.

이 공격은 카드 일련번호의 앞 6자리가 특정 은행의 특정 상품을 나타내는 번호라는 점을 노려 카드번호를 알아낸 것으로 드러났다.

씨티은행 A＋ 체크카드 부정결제로 지난해 1월부터 올해 4월까지 신고된 피해는 수백건, 피해 금액은 수천만원인 것으로 알려졌다.

사용 금액의 결제대금 청구가 즉시 보류되지 않은 탓에 3∼7일 안에 계좌에서 결제대금이 빠져나갔다.

금감원은 "신용카드는 부정 사용을 신고하면 결제대금 청구 보류 절차를 통해 대금이 즉시 인출되지 않도록 조치한다"고 지적했다.

금감원 조사 결과, 씨티은행은 직접 피해를 신고한 고객에 대해선 피해보상과 해당 가맹점 결제 차단 등의 조치를 했지만, 피해를 신고하지 않은 고객에 대해서는 피해 유무를 확인하지 않은 것으로 나타났다.

또 보상 절차의 문제뿐 아니라 원인 규명, 고객 보호, 재발 방지 등 후속 조치를 제때 하지 않은 것으로 나타났다.

금감원은 씨티은행에 "가맹점의 환불 처리 절차와 별도로 부정 사용으로 판단되는 건에 대해선 보상을 우선 실시하는 등 부정 사용 보상 절차를 개선하라"고 요구했다.

송수현 기자 다른기사 보기