무작위 번호 입력만으로 카드번호, CVC번호 등 노출
카드사들의 허술한 보안체계로 기프트카드 정보가 대거 유출되면서 3억원대의 피해가 발생했다. 2014년 대규모 개인정보 유출 사건 이후 보안 강화를 강조했던 카드사들은 또 다시 신뢰에 타격을 입게 됐다.
19일 경찰과 금융감독원 등에 따르면 중국 해킹조직은 지난해 12월부터 올해 1월 중순까지 A카드사와 B카드사의 홈페이지를 집중 공격해 기프트카드 600여장의 카드번호와 유효기간, 유효성 확인코드(CVC번호)를 알아냈다.
기프트카드는 최고 50만원 한도로만 발행되는 무기명 선불카드로, 오프라인에서 신용카드처럼 사용하거나 온라인에서 번호와 유효기간, CVC번호를 입력해 물품을 구입하는 데 사용한다. 중국 해킹조직은 기프트카드 수백장의 정보를 이모(23)씨 등 국내 카드 범죄 조직에 넘겼고, 이씨 등은 이를 온라인 등에서 판매하다 적발됐다.
문제는 기프트카드 정보가 너무나 쉽게 파악됐을 정도로 보안체계가 허술했다는 점이다. 중국 해킹조직은 두 카드사가 발행한 기프트카드를 구입한 뒤 카드사 홈페이지 잔액 조회시스템에 해킹 프로그램을 돌려 구입한 카드와 유효기간이 같고 잔액이 조회되는 카드번호를 얻어냈다. 3자리 수인 CVC번호는 000부터 999까지 무작위로 입력하는 초보적인 해킹에 모두 노출됐다. 표적이 된 카드사 2곳은 비밀번호를 3∼5회 잘못 입력 시 추가 입력이 제한되는 기초적인 보안장치조차 마련해두지 않다가 속수무책으로 당했다. 두 카드사는 사고 이후에야 부랴부랴 CVC번호 인증 횟수를 3~4회로 제한하는 조치를 취했다.
이대혁기자 selected@hankookilbo.com
기사 URL이 복사되었습니다.
댓글0