KB국민카드는 지난달 고객 2000여 명의 신용카드 번호가 이른바 '빈(BIN) 공격'을 받아 노출되는 일이 발생했다. /사진=연합뉴스

[한스경제=이승훈 기자] KB국민카드 고객 2000여 명의 신용카드 번호가 이른바 '빈(BIN) 공격'을 받아 노출되는 일이 발생했다. 다른 카드사들도 최근 비슷한 빈 어택을 받은 것으로 나타나 주의가 요구된다.

3일 관련업계에 따르면 지난달 24일 오후 8시∼25일 오전 8시 글로벌 전자상거래 사이트 아마존에서 빈 공격으로 추정되는 부정사용이 감지돼 KB국민카드가 해당 카드의 승인을 취소하고 거래를 정지했다.

국민카드는 이어 고객들에게 카드 재발급을 권유하고 관련 패턴을 이상금융거래 탐지시스템(FDS)에 반영했다.

빈 공격은 카드 일련번호 16자리 중 처음 6자리가 특정 은행이나 카드사의 특정 상품을 나타내는 고유 번호인 '빈(BIN) 번호'임을 노리고 카드번호를 알아내는 수법이다.

빈 번호는 고정값이므로 이 6자리를 알면 나머지 10자리를 무작위로 번호를 생성시키는 프로그램을 활용해 알아낼 수 있다.

이번 빈 공격으로 유출된 카드번호는 2000여 건이고, 부정사용 금액은 2000여 달러다.

지난 2017년 씨티은행도 체크카드 번호가 빈 어택으로 노출된 바 있다. 최근엔 삼성카드와 하나카드도 KB카드보다 규모는 적지만 비슷한 빈 어택을 당한 것으로 알려졌다. 카드업계 관계자는 “크고 작은 규모의 빈 어택이 계속 시도되고 있다”고 말했다.

이번 빈 어택이 2년 전 씨티은행 건과 다른 건 해커들이 글로벌 전자상거래 업체 ‘아마존’을 범행에 이용했다는 점이다.

아마존은 결제 시 고객에게 카드번호와 유효기간만을 요구해 해커들이 무작위로 생성한 카드번호로 '결제실험'을 하기가 용이하다.

아마존이 최초 결제 카드인 경우 결제 가능한 카드인지를 확인하기 위해 카드사에 우선 1달러 결제 승인을 요청해 승인되면 이를 취소하고 본 결제를 진행하는 점도 이번에 타깃이 됐다.

해커들이 1달러로 결제 시도를 하면 카드사 입장에서는 아마존이 결제 가능 카드인지를 확인하려는 1달러 승인 요청인지 해커들의 빈 공격인지 구분하기가 쉽지 않다.

이번 경우는 조기에 적발돼 추가 피해가 발생하지 않았다. 카드업계는 아마존과 같은 해외 가맹점은 빈 공격에 근본적으로 취약할 수밖에 없다고 보고 있다.

과거 국내 가맹점에서도 이와 유사한 빈 공격 사례가 있어 비밀번호 앞 2자리, 카드 뒷면 서명란에 기재된 CVC 번호 등을 입력하도록 개선 조치가 취해졌다.

금감원 관계자는 “이번에 KB카드가 대상이 됐을 뿐 다른 카드사에게 시도했으면 똑같은 피해가 발생했을 것”이라고 말했다.

카드업계 관계자는 "빈 공격은 매우 원초적인 공격으로 사전 차단은 불가능하지만 공격 특성상 대량의 승인거절이 발생하므로 모니터링을 통해 대응하고 있다"며 "사용자가 해외에서 카드를 사용할 일이 없을 경우 '해외이용 차단 설정'을 해서 필요한 경우에만 해외결제를 하는 것이 좋다"고 말했다.

이승훈 기자

저작권자 © 한스경제 무단전재 및 재배포 금지