“타겟 배상금 3조8천억원 넘을 것”

가 +
가 -

고객 카드 정보를 대량으로 해킹당한 미국 소매업체 ‘타겟’이 거액의 배상금을 물게 될 전망이다.

미국 소매업체 타겟 로고

테크크런치는 12월23일 재무관리 업체 ‘슈퍼머니’에 올라온 글을 인용해 타겟이 내야 할 돈이 36억달러, 우리돈 3조8천억원이 넘을 것이라고 보도했다. 타겟은 블랙프라이데이를 앞둔 11월27일부터 19일 동안 POS 시스템이 해킹당해 고객의 신용·직불카드 정보 4천만건이 유출됐다고 지난주 발표했다. 미국 신용카드 정보 유출 사상 두 번째로 피해 규모가 크다. 첫 번째는 2006년 12월 TJX 체인점 사고로, 당시 유출된 개인정보는 9천만건에 이르렀다.

슈퍼머니는 타겟이 내야 할 벌금이 유출된 정보 1건에 최대 90달러에 이를 것으로 예상했다. 90달러에 4천만건을 곱하면 36억달러가 나온다. 건당 90달러라는 금액은 카드회사가 벌금을 물리겠다고 공언한 액수다.

타겟을 비롯한 소매업체는 지불카드산업(PCI)협회로부터 매년 ‘지불카드산업 데이터보안표준(PCI DSS)’을 준수하는지 인증을 받는다. PCI협회는 비자, 아메리칸익스프레스, JCB, 디스커버, 마스터카드 등이 2006년 9월에 만든 보안기술 표준화 단체다. 타겟도 PCI 협회의 인증을 받았다. 하지만 타겟이 해킹 사고를 당하자 PCI협회는 인증이 무효라고 발뺌했다.

PCI 미준수시 예상 배상 금액

▲PCI 규약 미준수시 예상 벌금 (출처 : 포커스온PCI

‘포커스온PCI’ 웹사이트에는 인증을 받지 않을 경우 카드회사가 요구하게 될 벌금이 적혀 있다. 5천달러부터 50만달러까지다. 벌금 규모는 은행과 카드회사가 결정한다. “은행은 포렌식 조사에 근거해 벌금을 물릴 것”이며 “카드회사는 인증 불이행에 대한 처벌로 벌금을 징수할 것”이라는 문구도 있다. 이와 더불어 “PCI 인증을 100% 받은 회사라고 해도 카드소지자의 정보가 유출될 수도 있다”라며 이 경우 유출 건당 50달러에서 90달러까지 벌금을 물게 될 것이라고 적어뒀다. 슈퍼머니는 이를 근거로 벌금을 계산했다.

타겟 발등에 떨어진 불은 벌금만이 아니다. 해킹 사건의 전모를 조사하는 비용은 물론이고, 사후 대책도 모두 타겟이 짊어져야 할 부담이다. 미국 4개주 지방정부는 집단소송을 준비하고 있다. 이 모든 비용을 더하면 타겟의 배상 책임은 36억달러를 넘어선다고 슈퍼머니는 내다봤다.