KB국민카드, 카드번호 2000여 개 노출
과거 시티은행에도 빈 어택 피해 발생···3년 지났지만 해결책 ‘오리무중’

3년 전에 이어 또다시 금융권을 겨냥한 ‘빈 어택(BIN Attack)’이 발생하면서 소비자들의 원성이 높다./사진=셔터스톡
3년 전에 이어 또다시 금융권을 겨냥한 ‘빈 어택(BIN Attack)’이 발생하면서 소비자들의 원성이 높다./사진=셔터스톡

3년 전에 이어 또다시 금융권을 겨냥한 ‘빈 어택(BIN Attack)’이 발생하면서 소비자들의 원성이 높아지고 있다. 과거에 똑같은 방식의 해킹 피해를 입었는데도 금융사들이 여전히 속수무책으로 당하고 있어, 금융혁신이 보안보다 편의성에만 초점이 맞춰져 있는 것이 아니냐는 지적이 나온다.

◇ KB국민카드, 아마존에서 '빈 어택' 추정 해킹 통한 부정 사용 드러나

9일 금융권에 따르면 지난달 24일 오후 8시부터 다음날 오전 8시까지 KB국민카드의 ‘로블 시그니쳐 비자’ 카드의 실제 일련번호 2000여 개가 글로벌 전자상거래 사이트 아마존에서 ‘빈 어택’으로 추정되는 해킹 방법을 통해 부정 사용된 것으로 드러났다.

국민카드는 해당 카드의 승인을 취소하고 거래를 정지했다. 또 고객들에게 카드 재발급을 권유하고 관련 패턴을 이상금융거래 탐지시스템(FDS)에 반영하는 등 추가 피해를 막기 위한 조치를 취했다.

빈 어택이란 카드 일련번호 16자리 중 처음 6자리가 특정 은행이나 카드사의 특정 상품을 나타내는 고유 번호인 ‘빈(BIN) 번호’라는 점을 노리고 카드번호를 알아내 해킹하는 수법이다. 특정 카드의 앞 6자리를 유추해 고정해 놓고 나머지 10자리 숫자를 무작위로 조합해 진짜 카드번호를 골라내는 방식이다.

해커들은 카드번호가 유효한지 확인하기 위해 아마존에 1달러 결제를 요청했다. 아마존을 비롯한 일부 해외 가맹점들은 국내와 달리 ‘CVC 인증(카드 뒷면에 적힌 유효성 검사 코드 3자리)’을 요구하지 않기 때문에 카드번호와 유효기간만 알면 카드 결제가 가능하다.

해커들은 이 점을 노리고 결제가 가능한 카드인지 확인하기 위해 카드사에 1달러 결제 승인을 요청했다. 카드사 입장에선 1달러 결제 시도가 아마존의 요구에 따른 것인지 해커의 빈 공격인지 구분하기 쉽지 않다. 결제가 승인되면 곧바로 결제를 취소하고 카드번호를 팔아넘기는 방식으로 번호가 유출된다.

앞서 씨티은행도 지난 2016년 1월부터 2017년 4월까지 1년이 넘는 기간 동안 미국의 페이팔 가맹점에 대한 빈 어택이 발생해 해당 가맹점에서 씨티은행의 에이플러스(A+) 체크카드가 부정 결제된 바 있다. 피해가 발생한 지 3년이 지났지만 금융사들이 빈 어택에 여전히 속수무책인 상황이다.

◇ “카드 부정 사용 막기 위해 선제적 대응 방안 마련해야”

일각에서는 금융혁신이 편의성에만 치우친 나머지 보안 문제를 놓치고 있는 것 아니냐는 지적이 나온다. 사건 발생 후 금융사들은 해당 카드의 승인 취소, 거래정지, 카드 재발급 등으로 대응했다. 그러나 이는 후속 조치에 불과할 뿐 원천적으로 빈 어택을 예방할 수 있는 방법이 현재로선 없다. 카드 일련번호의 특성을 활용하면 해커들은 언제든 다른 금융사에 같은 방식의 범행을 시도할 수 있는 셈이다.

이에 전문가들은 핀테크 기술을 활용한 보안에 초점을 맞추고 카드번호 유출 및 부정 결제 등에 대한 선제적 해결책이 필요하다고 강조한다.

임윤화 여신금융협회 선임조사역은 지난 2015년 ‘유형별 카드 부정 사용 현황과 향후 보안 과제 및 대응 방안’ 보고서를 통해 “간편결제 시행 및 핀테크 활성화에 따른 금융보안 규제 완화로 카드 부정 사용에 대한 소비자의 불안감이 커지고 있다”며 “카드 위변조 부정 사용에 대비한 조속한 IC단말기 전환과 카드정보 도용, 부정 사용 증가에 대비한 동적 보안코드, 지역 차단 등의 선제적 대응 방안 마련이 필요하다”고 말했다.

저작권자 © 시사저널e 무단전재 및 재배포 금지