NH농협카드가 보이스피싱 대처 과정에서의 허점이 드러났다. 피싱 피해자가 사기를 인지하고 카드 사용정지 신청을 했지만 피싱범이 NH농협카드를 비웃듯 사용정지를 해제하고 금전을 탈취해 달아난 것.
지난 9일 방송 보도 등에 따르면 피해 고객 A씨는 가족으로부터 100만원 가량이 급하게 필요하다는 문자메시지를 받고 평소 사용하던 카드 3개의 정보와 신분증 등을 전송했다. A씨는 이후 피싱 사기임을 인지해 정보가 유출된 카드사 중 하나에 전화해 피싱 당한 사실과 개인정보 유출 등에 대해 알리고 일괄 정지 요청을 했다.
A씨는 신고 당시 카드사에 카드 추가 이용 내역이 없음을 확인해 안심하고 있었지만 직후 NH농협카드의 정지가 해제되면서 700만원 가량 금전적 피해를 입었다.
이는 비대면 온라인을 통해서 카드 사용 정지를 해제할 수 있었던 NH농협카드의 시스템 때문에 발생했다. NH농협카드는 고객의 편의를 위해 비대면 해제 서비스를 지원, 추가 안전장치인 SMS 인증이나 ARS 인증을 거치면 쉽게 해제할 수 있게끔 해놨다.
그러나 피싱범은 카드번호, 유효기간, CVC번호 등 주요 카드정보를 비롯해 A씨 명의의 대포폰까지 활용해 SMS와 ARS 인증을 무효화시켰다.
이에 A씨가 NH농협카드에 연락해 정지가 해제돼 금전적 손실이 발생했다고 억울함을 호소하자 카드사는 피싱범이 중요 개인정보 및 대포폰까지 활용하는 상황이니 비밀번호 3회 오류를 통해 정지시켜야한다고 답했다.
NH농협카드 측은 피해 고객이 직접 자사에 피싱신고를 한 것이 아닌 타 카드사를 통해 피싱 신고를 해 정지 신청을 했고, 이 경우 '신용카드 분실 일괄신고서비스'를 통해 자사에는 보이스피싱에 의한 정지 신청이 아닌 '분실'에 의한 정지로 신청이 된다고 설명했다.
따라서 NH농협카드는 보이스피싱에 의한 정지를 인지하지 못한 채 '분실' 처리 절차를 따른 것이며, 피싱범이 고객이 유출한 정보와 고객 명의의 대포폰을 이용해 해체 신청을 해 절차상에는 하자가 없어 이 같은 금전적 피해를 방지하지 못했다는 것이다.
이번 피싱 피해 사건에 대해 NH농협카드 관계자는 "금전적 피해를 입은 고객의 피해 과정을 시간대별로 파악해 보상 가능성을 검토하는 중"이라며 "앞으로 보이스피싱에 의해 카드 정지를 신청한 경우 영업점 방문을 통해서만 정지를 해제할 수 있도록 할 것이며 이외에도 다양한 방침을 내부적으로 검토하고 있다"고 밝혔다.