해커 '빈(BIN)공격'에 국민카드 실제번호 2000여 개 노출

국민카드, 확인 즉시 승인취소·거래정지…금전 피해는 막아

[아시아경제 문혜원 기자] KB국민카드 고객 2000여명의 신용카드 번호가 이른바 ‘빈(Bank Identification Number· BIN) 공격’을 받아 노출되는 일이 발생했다. 국민카드는 해킹이 확인된 즉시 해당 카드의 승인을 취소하고 해커들이 알아내기 어려운 방식의 새 카드번호를 발급해 고객들의 금전적 피해를 막았다.

3일 카드업계에 따르면 KB국민카드의 ‘로블 시그니쳐 비자’ 카드의 실제 일련번호 2000여 개가 지난달 24일 오후 8시부터 25일 오전 8시에 글로벌 전자상거래 사이트 아마존에서 빈 공객을 당해 해커 손에 넘어갔다. 당시 온라인 소비자 커뮤니티에는 “로블 시그니쳐 카드 일련번호가 새 나갔다”, “새벽에 외국에서 1달러씩 결제됐다”라는 내용의 글들이 다수 게시됐다.

빈 공격은 카드 일련번호 16자리 중 처음 6자리가 특정 은행이나 카드사의 특정 상품을 나타내는 고유 번호인 점을 노리고 카드번호를 알아내는 해킹 수법이다. 해커들은 나머지 10자리 숫자를 프로그램으로 무작위 조합해 수많은 카드 번호를 만든 뒤 실제 결제를 시도해 정상 카드번호를 골라낸다.

이번 부정사용 금액이 건당 1달러에 불과한 것은 빈 공격을 시도한 해커들이 아마존의 거래 행태를 범행에 활용했기 때문으로 보인다. 아마존은 결제 시 고객에게 카드번호와 유효기간만을 요구해 해커들이 무작위로 생성한 카드번호로 ‘결제실험’을 하기가 용이하다는 게 업계의 분석이다.

해커들은 아마존이 최초 결제 카드인 경우 결제 가능한 카드인지를 확인하기 위해 카드사에 우선 1달러 결제 승인을 요청해 승인되면 이를 취소하고 본 결제를 진행하는 점에도 주목한 것으로 보인다. 해커들이 1달러로 결제 시도를 하면 카드사 입장에서는 아마존이 결제 가능 카드인지를 확인하려는 정상적인 승인 요청인지 해커들의 빈 공격인지 구분하기가 쉽지 않기 때문이다.

이번 경우에는 조기에 적발돼 고객에게 금전적인 피해가 발생하지 않았지만 카드업계는 아마존과 같은 해외 가맹점은 빈 공격에 근본적으로 취약할 수 밖에 없다고 우려하고 있다.

과거 국내 가맹점에서는 이와 유사한 빈 공격 사례가 발생해 비밀번호 앞 2자리, 카드 뒷면 서명란에 기재된 CVC 번호 등을 입력하도록 개선 조치가 취해졌다.

한 카드사 관계자는 “빈 공격은 매우 원초적인 공격으로 사전 차단은 불가능하지만 공격 특성상 대량의 승인거절이 발생하므로 모니터링을 통해 대응하고 있다”며 “사용자가 해외에서 카드를 사용할 일이 없을 경우 ‘해외이용 차단 설정’을 해서 필요한 경우에만 해외결제를 하는 것이 좋다”고 말했다.

문혜원 기자 hmoon3@asiae.co.kr