무작위 매크로 특성상 근본 대책 없어 ‘속수무책’
카드사 “보안시스템 강화 등 현재로선 사후대처가 최선”
금융권을 대상으로 한 ‘빈(BIN) 어택’ 공격이 계속되면서 금융권의 대책 고심이 깊어지고 있다. 몇 년째 비슷한 공격이 발생하고 있지만 무작위 매크로를 이용해 카드번호 해킹을 시도한다는 빈 어택의 특성상 공격 자체를 막을 근본적인 대책은 여전히 없는 상황이다.
30일 카드업계에 따르면 지난 27일 롯데카드의 ‘스카이패스 더 드림’ 카드에 빈 어택 공격이 발생했다. 빈 어택은 해커들이 카드번호를 알아내기 위해 사용하는 해킹 수법이다. 은행이나 카드사의 카드 일련번호 16자리 중 앞자리 6자리인 ‘빈(BIN·Bank Identification Number)’이 특정 상품을 나타내는 고유번호라는 점을 노리고 나머지 10자리 숫자를 매크로로 무작위 조합해 여러 카드번호를 만든 뒤 결제를 시도함으로써 진짜 카드번호를 알아내는 방법이다.
롯데카드의 이번 빈 어택 사례는 금전적 피해는 발생하지 않았다. 그러나 기존 해외 결제 시도가 1달러 이하의 소액결제였던 것에 반해 1800만원의 큰 금액 결제 시도 사례가 나타나면서 고객들의 불안감이 고조됐다.
롯데카드 관계자는 “결제 시도는 있었으나 실시간 이상금융거래탐지시스템(FDS)이 이를 즉시 감지해 승인요청을 차단했다”며 “금전적 피해는 한 것도 일어나지 않았다”고 말했다.
국내 은행과 카드업계를 대상으로 한 빈 어택은 이번이 처음이 아니다. 앞서 씨티은행도 2016년 1월부터 2017년 4월까지 1년이 넘는 기간 동안 미국의 페이팔 가맹점에 대한 빈 어택이 발생해 해당 가맹점에서 씨티은행의 ‘에이플러스(A+) 체크카드’가 부정결제되면서 금전 피해가 일어났다. 지난해에는 KB국민카드 고객 2000명의 카드번호가 노출되면서 또 한 번 문제가 불거진 바 있다.
금융권 관계자는 금융사에 빈 어택이 거의 일상화된 수준이라고 말한다. 카드업계 관계자는 “빈 어택은 무작위로 수천, 수만개의 카드번호를 뽑아내 결제를 시도하는 방식”이라며 “한 달에 백번 정도 발생했다고 하면 빈 어택이 거의 없다고 볼 정도로 카드사에 대한 빈 어택은 매우 흔하게 일어나는 사례”라고 말했다.
무작위로 번호를 뽑아내 결제를 시도하는 수법의 특성상 빈 어택의 결제 시도 자체를 막는 데에는 아직까지 뾰족한 수가 없다는 게 업계 관계자들의 중론이다. 해킹 수법을 조금씩 바꿔가면서 FDS의 빈틈을 노리고 있기 때문에 근본적인 해결책을 찾기란 더욱 어렵다. 지난해 문제가 발생했던 국민카드도 해커가 기존 빈 어택 수법을 변형해 카드 뒷면에 새겨진 3자리의 CVC(유효성 확인 코드) 번호가 필요 없는 아마존을 통한 결제 시도를 하면서 피해가 발생했었다. 국민카드의 피해 사례 이후 카드업계는 대대적으로 FDS를 보완하기도 했다.
카드업계는 FDS를 보완 및 강화하는 방법 외에는 현재로선 뾰족한 대책이 없다고 말한다. 하루에도 수천 번씩 빈 어택 시도가 계속되고 있는 데다 해커를 직접 잡아내지 않는 이상 공격 시도 자체를 막을 방도가 없기 때문이다. 한 카드사 관계자는 “빈 어택 수법은 매번 조금씩 교묘해지면서 보안시스템의 빈틈을 노리는 식으로 진화하고 있다”며 “현재로선 FDS를 강화하는 등 사후대처가 최선이다”라고 말했다.
금융감독원 관계자는 “빈어택은 기본적으로 해외에서 공격이 들어오는 경우가 대부분이라 해커의 IP 추적이 어렵다”며 “해외 부정결제 시도를 막기 위해선 카드번호 외에 추가적인 인증 절차를 도입해야 하는데 부정결제가 시도되는 해외 가맹점이나 해외 사이트의 경우 우리나라의 감독 대상이 아니기 때문에 추가 인증 절차를 강제할 수 없다”고 설명했다.
그러면서 “결국 카드사가 해외 결제 자체를 막는 것이 빈 어택을 차단할 수 있는 가장 확실한 방법이지만 이는 현실적으로 불가능하다”라고 덧붙였다.