읽는 재미의 발견

새로워진 한국일보로그인/회원가입

  • 관심과 취향에 맞게 내맘대로 메인 뉴스 설정
  • 구독한 콘텐츠는 마이페이지에서 한번에 모아보기
  • 속보, 단독은 물론 관심기사와 활동내역까지 알림
자세히보기
[단독] 또 ‘빈어택’… KB카드 카드번호 2000개 노출
알림
알림
  • 알림이 없습니다

[단독] 또 ‘빈어택’… KB카드 카드번호 2000개 노출

입력
2019.07.03 04:40
수정
2019.07.03 11:29
21면
0 0

KB카드 “신속 대처로 고객 피해 차단”

빈어택 이란? 그래픽=신동준 기자
빈어택 이란? 그래픽=신동준 기자

해커들이 최근 KB국민카드 고객 2,000명의 신용카드 번호를 알아내 무단 결제에 성공한 것으로 드러났다. 2년전 한국씨티은행 체크카드 사태로 알려진 일명 ‘빈(BIN) 어택’이란 해킹 방법을 통해서다. 다른 카드사들도 최근 비슷한 빈 어택을 받았는데, 카드사로서는 마땅한 예방 방법도 없어 업계는 곤혹스러워 하고 있다.

◇해커들, 프로그램 돌려 카드번호 조합

2일 금융감독원과 카드업계에 따르면, KB국민카드의 ‘로블 시그니쳐 비자’ 카드의 실제 일련번호 2,000개가 지난달 25일 빈 어택을 당해 해커 손에 넘어갔다. 당시 온라인 소비자 커뮤니티에는 “로블 시그니쳐 카드 일련번호가 새 나갔다” “새벽에 외국에서 1달러씩 결제됐다”는 글들이 다수 게시됐다.

빈 어택은 해커들이 온라인 결제에 필요한 실제 고객의 카드번호를 알아내기 위해 사용하는 방법이다. 빈(BINㆍBank Identification Number)은 은행이나 카드사의 고유번호를 의미하는데, 통상 카드 일련번호 16자리 중 앞 6자리다. 해커들은 특정 카드의 앞 6자리가 같은 점을 포착해, 나머지 10자리 숫자를 프로그램으로 무작위 조합해 수많은 카드 번호를 만든 뒤 실제 결제를 시도해 ‘진짜 카드번호’를 골라내는 것이다.

해커들은 알아낸 카드 번호로 일반 물품을 구매하는 대신, 온라인 마약 유통 공간으로 유명한 ‘다크웹’에 팔아 넘긴다. 번호를 들킨 고객이 졸지에 마약구매자가 될 수도 있는 셈이다. 지난 2017년 씨티은행도 체크카드 번호가 빈 어택으로 노출된 바 있다. 최근엔 다른 카드사들도 KB카드보다 규모는 적지만 비슷한 빈 어택을 당한 것으로 알려졌다. 카드업계 관계자는 “크고 작은 규모의 빈 어택이 계속 시도되고 있다”고 전했다.

KB카드는 지난주 빈 어택 사고를 인지한 뒤, 피해 카드 사용을 우선 정지시키고 해커들이 알아내기 어려운 방식의 새 카드번호를 발급했다고 밝혔다. 로블 시그니쳐 비자 카드 회원은 총 5만2,000명이지만 “이번 사고 피해자 2,000명과 나머지 회원은 번호 특성이 달라 더 이상의 피해는 없을 것”이라고 KB카드 측은 밝혔다. 금감원은 “KB카드가 즉시 금감원, 다른 카드사들과 사고내용을 공유해 추가 피해를 막았다”며 “아직 별도의 검사 계획은 없다”고 말했다.

◇아마존 이용, 정상거래와 구별 어려워

이번 빈 어택이 2년 전 씨티은행 건과 다른 건, 해커들이 글로벌 전자상거래 업체 ‘아마존’을 범행에 이용했다는 점이다. 해커들은 무작위 조합한 번호로 아마존에 1달러 결제를 요청하고, 결제가 승인되면 실제 카드번호 임을 확인했다.

아마존은 고객 편의를 위해 통상 다른 상거래업체가 요구하는 ‘CVC번호’를 결제시 요구하지 않는다. 해커들로선 카드번호와 유효기간만 알면 결제 시험을 쉽게 해볼 수 있다.

또 아마존은 고객이 최초 카드 결제를 시도하면, 이 카드가 결제 가능 카드인지 확인하기 위해 카드사에 ‘1달러 결제 승인’을 요청한다. 승인이 되면 곧바로 결제를 취소하고, 물품 거래를 진행하는 식이다. 해커들의 ‘1달러 결제 요청’이 아마존의 결제 시험 방식과 유사해 카드사의 ‘이상금융거래탐지시스템(FDS)’으로도 구별하기 어렵다.

카드사들은 곤혹스러워 하고 있다. 한 카드사 관계자는 “FDS로 걸러내려고 해도 정상 거래까지 막게 될 가능성이 높아 쉽지 않다”고 말했다. 금감원 관계자도 “이번에 KB카드가 대상이 됐을 뿐, 다른 카드사에게 시도했으면 똑같은 피해가 발생했을 것”이라고 설명했다.

곽진 아주대 사이버보안학과 교수는 “카드 고객 스스로 평소 해외결제를 막아두거나, 가급적 상거래 사이트에 카드번호를 저장하지 않는 등 빈 어택을 당해도 ‘곧바로 결제가 가능한 카드’로 분류되지 않게 하는 노력이 필요하다”고 조언했다.

이상무 기자 allclear@hankookilbo.com

장재진 기자 blanc@hankookilbo.com

기사 URL이 복사되었습니다.

세상을 보는 균형, 한국일보Copyright ⓒ Hankookilbo 신문 구독신청

LIVE ISSUE

기사 URL이 복사되었습니다.

댓글0

0 / 250
중복 선택 불가 안내

이미 공감 표현을 선택하신
기사입니다. 변경을 원하시면 취소
후 다시 선택해주세요.