씨티은행 경영유의 2건
개선요구 2건 제재 의결

[파이낸셜데일리=이정성 기자] 한국씨티은행이 체크카드 이용 고객들의 피해를 봤지만 45일 넘게 보상하지 않은 것으로 드러나 당국의 제재를 받았다. 씨티은행은 보상 절차 문제뿐 아니라 원인 규명, 고객 보호, 재발 방지 등 후속 조치를 제때 하지 않아 피해규모를 키운 것으로 나타났다.

14일 금융감독원에 따르면 씨티은행의 ‘에이플러스(A＋) 체크카드’ 이용자들은 자신이 사용하지 않은 해외 가맹점에서 결제가 승인돼 계좌에서 결제대금이 무단 인출되는 피해를 봤다.

미국의 페이팔 가맹점에 ‘빈(BIN·Business Identification Number) 공격’이 발생, 해당 가맹점에서 씨티은행의 A＋ 체크카드가 부정 결제됐다. 빈 공격은 카드 일련번호의 앞 6자리가 특정 은행의 특정 상품을 나타내는 번호라는 점을 노려 카드번호를 알아내는 수법이다.

지난해 1월부터 올해 4월까지 신고 된 피해는 수백 건, 피해 금액은 수천만 원인 것으로 알려졌다.

실제 씨티은행은 직접 피해를 신고한 고객에 대해선 피해보상과 해당 가맹점 결제 차단 등의 조치를 했지만, 피해를 신고하지 않은 고객에 대해선 카드 사용 여부나 피해 유무를 확인하지 않았다.

금감원은 “씨티은행은 결제대금이 빠져나간 고객에 대해서도 해외 가맹점의 환불 처리(charge back) 절차를 마칠 때까지 부정사용을 보상하지 않아 45일 이상 걸리는 등 고객 보상이 상당 기간 지연되는 문제점이 있다”고 밝혔다.

이어 “카드를 발급하는 모든 금융회사는 부정사용 방지 시스템(FDS)을 운영하게 돼 있다”면서 “씨티은행은 FDS 운영 등 카드 부정사용 예방 관련 업무를 실무자 선에서 전결 처리해 고객 보호와 재발 방지 등 종합적·체계적 대응을 하지 못했다”고 밝혔다.

하지만 씨티은행이 도입한 FDS의 외부 용역 서비스는 계약이 2015년 말 종료됐는데도, 지난해 6월에야 새 시스템을 도입하는 등 시스템 운영과 관련해 허점을 드러내기도 했다.

한편 금감원은 검사 결과를 토대로 씨티은행에 대해 경영유의 2건, 개선요구 2건의 제재를 의결하고, 피해 고객에 대한 보상 처리 방안 등을 강구하라고 주문했다.