영상
[서울=뉴스핌] 이정화 기자 = KB국민카드의 고객 2000명의 신용카드 번호가 해커들에 노출됐다. 특정 카드사의 특정 카드번호 앞 6자리가 같다는 점을 노린 '빈(BIN) 어택' 방식의 수법이 이용된 것으로 드러났다.
이에 KB국민카드는 해킹 확인 직후 해당 카드 사용을 정지하고 새로운 방식의 새 카드번호를 발급한 상태다. 다만 이번 해킹은 모든 카드사가 범행 대상이 될 수 있음에도 대응책은 해외 거래를 중단시키는 것 외엔 별다른 방법이 없어 대책 마련이 필요하다는 지적이다.
 |
| [CI=KB국민카드] |
3일 KB국민카드와 관련업계에 따르면 지난달 24일 새벽부터 25일에 걸쳐 KB국민카드의 '로블 시그니쳐 비자' 카드의 일련번호 2000개가 해커에 노출됐다.
은행이나 카드사의 고유번호를 뜻하는 '빈(BIN·Bank Identification Number)'은 카드 일련번호 16자리 중 앞 6자리를 가리킨다. 특정 카드사의 특정 카드의 경우 이 앞자리 6자리가 모두 같다. 해커들은 이 점을 노려 나머지 10자리 숫자를 무작위 조합해 진짜 카드 번호를 골라내는 수법을 썼다.
해커들은 카드번호가 유효한지 확인하기 위해 미국 아마존에 1달러 결제를 요청했다. 해커들은 카드 번호와 유효기간만 알면 아마존에서 카드 결제가 가능하다는 점을 악용했다. 결제 승인이 이뤄지면 곧바로 결제를 취소하고 카드 번호를 팔아넘기는 방식이다. 이 과정에서 일부 카드고객들이 온라인 커뮤니티에 관련 내용을 게재하면서 피해가 드러났다.
KB국민카드의 로블 시그니쳐 비자카드가 범행 대상이 된 건 유효기간 유추가 용이했기 때문이다. 이 카드는 2017년 12월 발급이 중단된 카드다. 발급 중단 소식이 알려지면서 발급 중단 직전 카드 발급 신청이 몰렸다. 통상 카드 유효기간은 발급 후 5년까지다. 해커들은 이 점을 악용해 유효기간 보다 쉽게 유추한 후 해킹을 시도한 것이다.
문제는 KB국민카드 뿐만 아니라 모든 카드사가 이 같은 범죄 대상이 될 수 있다는 점이다. 아마존은 고객이 최초로 카드 결제를 시도하면 이 카드가 결제 가능한 카드인지 확인하기 위해 '1달러 결제 승인'을 요청한다. 승인이 이뤄지면 곧바로 결제를 취소하고 물품 거래를 진행하게 된다. 해커들의 '1달러 결제 요청'은 아마존의 이 같은 결제 가능 카드 확인 방식과 유사해 카드의 '이상금융거래탐지시스템(FDS)'으로도 구별하기 어렵다.
카드업계 관계자는 "이 같은 범죄를 원천 차단하는 방법은 해외 거래를 막는 방법 밖에 없다"며 "사실상 대응이 어렵다"고 말했다.
KB국민카드는 빈어택 사고 인지 직후 피해 카드 사용을 정지한 후 해커들이 알아내기 어려운 방식의 새 카드 번호를 발급했다.
금융감독원은 이와 관련해 별도의 검사 계획은 없는 것으로 전해졌다. KB국민카드 측의 과실로 인한 고객 피해가 아닌 데다 실제 금전적 피해도 없어서다. 이와관련, KB국민카드 관계자는 "로블 시그니쳐 비자카드가 범죄 대상이 됐다는 사실은 비교적 빠르게 인지할 수 있었다"며 "건수가 상대적으로 많지 않아 신속하게 조치했다"고 말했다.
clean@newspim.com
