해커 공격에 카드번호 2000개 유출
금전 피해는 없어
지난달 KB국민카드 고객 2000여명의 신용카드 번호가 해킹돼 유출되는 일이 발생했다.
5일 카드업계에 따르면 지난달 24일 KB국민카드의 ‘로블 시그니쳐 비자’ 카드의 실제 일련번호 2000개가 ‘빈(BIN) 공격’이라는 해킹 방법을 통해 유출됐다. KB국민카드는 글로벌 전자상거래 사이트 아마존에서 빈 공격으로 추정되는 부정 사용이 감지돼 해당 카드의 승인을 취소하고 거래를 정지했다.
은행이나 카드사의 고유번호를 뜻하는 ‘빈(BIN, Bank Identification Number)’은 카드 일련번호 16자리 중 앞 6자리를 가리킨다.
‘빈 공격’은 앞자리 6자리가 특정 은행이나 카드사의 특정 상품을 나타내는 빈 번호임을 노리고 카드번호를 알아내는 수법으로 고정값인 앞 6자리를 제외한 나머지 10자리 번호를 무작위로 조합해 실제 사용 카드번호를 찾아낸다.
이번 빈 공격으로 유출된 카드번호는 2000여건, 부정사용 금액은 2000여달러 수준인 것으로 알려졌다.
해커들은 아마존이 최초로 결제하는 카드에 대해서는 결제 가능한 카드인지를 확인하기 위해 우선 1달러 결제 승인을 요청한 후 승인되면 이를 취소하고 본 결제를 진행한다는 점을 노렸다.
이들은 카드번호가 유효한지 알아보기 위해 아마존에 1달러 결제 승인을 요청한 후 결제가 승인되면 이를 취소하고 카드번호를 팔아넘겼다.
카드사 입장에선 결제 가능 카드인지 확인하려는 1달러 승인 요청인지 해커들의 빈 공격인지 예측하기 쉽지 않다.
KB국민카드는 빈 공격을 인지한 뒤 피해 카드 사용을 우선 정지시키고 해커들이 알아내기 어려운 방식의 새 카드번호를 발급했으며 조기에 적발돼 추가 피해는 발생하지 않았다.
과거에도 국내 가맹점에서 이와 유사한 빈 공격 사례가 있어 비밀번호 앞 2자리, 카드 뒷면 서명란에 기재된 CVC 번호 등을 입력하도록 개선 조치가 취해진 바 있다.
카드업계 관계자는 “해외 가맹점의 경우 결제 시 고객에게 카드번호와 유효기간만을 요구하기 때문에 빈 공격에 취약하다”면서 “국내는 카드번호와 유효기간 외에 더 많은 정보를 요구해 해킹 피해를 줄이고 있다”고 말했다.
파이낸셜투데이 이진명 기자