[서울이코노미뉴스 정우람 기자] KB국민카드 고객 2000여명의 신용카드 번호가 이른바 '빈(BIN) 공격'을 받아 노출되는 일이 발생했다.
‘빈’은 신용카드 일련번호 16자리 중 처음 6자리를 뜻하는 용어다. 카드브랜드, 카드종류, 카드등급, 발행사와 발행국가 등에 대한 정보가 앞 6자리에 담겨 있다.
‘빈 공격’은 6자리 고유번호에다 나머지 10자리 숫자를 임의로 붙여 실제로 존재하는 카드번호인지를 알아내려는 해커들의 범행을 일컫는다. 매크로 프로그램을 통해 나머지 10자리 번호와 카드 유효기간을 무작위로 맞춰보는 수법을 사용한다.
3일 업계에 따르면 지난달 24일 오후 8시∼25일 오전 8시 글로벌 전자상거래 사이트 아마존에서 빈 공격으로 추정되는 움직임이 감지돼 KB국민카드가 해당 카드의 승인을 취소하고 거래를 정지했다.
국민카드는 이어 고객들에게 카드 재발급을 권유하고 관련 움직임을 이상금융거래 탐지시스템(FDS)에 반영했다.
이번 빈 공격으로 유출된 카드번호는 2000여건이고, 부정사용 금액은 2000여달러다. 카드 1건 당 1달러를 사용한 것이다.
이는 빈 공격을 시도한 해커들이 아마존의 거래 행태를 범행에 활용했기 때문이다.
아마존이 최초 결제 카드인 경우 결제 가능한 카드인지를 확인하기 위해 카드사에 우선 1달러 결제 승인을 요청한다. 카드사가 승인하면 1달러 결제를 취소하고 본 결제를 진행한다.
해커들이 이 점을 노려 카드마다 1달러 결제를 시도했다. 매크로 프로그램으로 무작위 번호를 맞춰가며 사용 가능한 카드인지를 확인하려 한 것이다. 카드사 입장에서는 아마존의 요청인지 해커들의 범행인지를 구분하기가 쉽지 않다.
이번 경우는 조기에 적발돼 추가 피해가 발생하지 않았다. 카드업계는 아마존과 같은 해외 가맹점은 빈 공격에 근본적으로 취약할 수밖에 없다고 보고 있다.
과거 국내 가맹점에서도 이와 유사한 빈 공격 사례가 발생해 비밀번호 앞 2자리, 카드 뒷면 서명란에 기재된 CVC 번호 등을 입력하도록 개선 조치가 취해졌다.
한 카드사 관계자는 "빈 공격은 매우 원초적인 공격으로 사전 차단은 불가능하지만 공격 특성상 대량의 승인거절이 발생하므로 모니터링을 통해 대응하고 있다"고 전하고 "사용자가 해외에서 카드를 사용할 일이 없을 경우 '해외이용 차단 설정'을 해서 필요한 경우에만 해외결제를 하는 것이 좋다"고 말했다.
