케이비(KB)국민카드에서 신용카드 앞쪽 여섯 자리 일련번호인 ‘빈 번호’를 활용해 카드번호 전체를 알아내는 ‘빈 공격’ 피해가 발생한 것으로 3일 확인됐다. 이로써 카드 고객 2000여명의 카드번호가 노출돼 아마존에서 1달러씩 불법 결제가 이뤄진 것으로 나타났다.
국민카드는 지난달 24~25일 ‘로블 비자 시그니처 카드’ 회원에 대해 빈 공격이 발생해 2000여명의 카드번호가 해커에게 넘어갔다. 이 해커는 번호를 알아내는 과정에서 세계 최대 온라인 쇼핑몰인 아마존을 통해 1달러씩 결제를 했던 탓에 알림 문자 등을 받은 고객들이 피해사실을 인지했던 것으로 나타났다.
빈 공격은 전세계 가맹점 네트워크를 가진 비자나 마스터 카드사가 카드번호 16자리 중 앞 6자리에 카드상품별로 같은 ‘빈 번호’를 부여하는 시스템을 쓰는 점을 악용하는 수법이다. 해커들은 특정 카드상품의 6자리 일련번호인 빈 번호를 알아내면, 매크로 프로그램을 통해 나머지 10자리 번호와 카드 유효기간을 무작위로 맞춰보는 식으로 실제 존재하는 카드번호를 알아내는 수법을 쓴다. 이때 아마존 쇼핑몰이 이용됐다. 아마존은 고객이 구매를 위해 카드 결제를 시도하면, 실제 카드사에 1달러 결제승인을 의뢰해서 실제 유효한 카드인지 검증하고 다시 승인을 취소하는 확인절차 시스템을 쓴다. 이에 해커가 매크로 프로그램으로 무작위 번호를 맞춰가며 1달러 결제를 시도해도 이상거래 탐지를 하기 어려운 점을 활용한 것이다. 아마존은 결제 때 카드 시브이시(CVC) 번호를 따로 요구하지 않아서 매크로 프로그램을 돌리기에 그리 어렵지 않은 환경이다.
앞서 한국씨티은행 에이플러스 체크카드가 2016년 1월~2017년 4월까지 1년여 동안 빈 공격으로 빠져나간 카드번호 노출 사태로 외국에서 페이팔 결제가 이뤄지는 등 수백명에게서 수천만원의 부정 사용이 이뤄진 적이 있다. 당시 씨티은행은 부정 사용 신고 고객에게도 대금결제 보류 조처를 제때 하지 않은데다 신고하지 않은 고객의 피해 유무를 제대로 확인하지 않아 금융당국 제재를 받기도 했다.
국민카드 관계자는 “빈 공격 시도는 종종 발생하는데 이번엔 2천여명의 카드번호가 대규모로 노출되면서 고객들의 피해 신고가 잇따라 곧바로 사고 수습에 들어갔다”며 “아마존 1달러 결제가 고객 계좌에서 빠져나가는 일이 없도록 카드 승인을 취소하고 25일 오후 피해 고객들을 대상으로 신규 번호 카드 재발급 절차에 들어가는 등 주요 사고 수습을 이튿날 마쳤다”고 밝혔다.
정세라 기자
seraj@hani.co.kr
◎ Weconomy 홈페이지 바로가기: https://www.hani.co.kr/arti/economy◎ Weconomy 페이스북 바로가기: https://www.facebook.com/econohani
![[사설] 노동자 안전 뒷전 중대재해법 후퇴가 민생 대책인가](http://flexible.img.hani.co.kr/flexible/normal/300/180/imgdb/child/2024/0116/53_17053980971276_20240116503438.jpg "[사설] 노동자 안전 뒷전 중대재해법 후퇴가 민생 대책인가")
![[올해의 책] 숙제를 풀 실마리를 찾아, 다시 책으로 ①국내서](http://flexible.img.hani.co.kr/flexible/normal/800/320/imgdb/original/2023/1228/20231228503768.jpg "[올해의 책] 숙제를 풀 실마리를 찾아, 다시 책으로 ①국내서")
![[올해의 책] 숙제를 풀 실마리를 찾아, 다시 책으로 ②번역서](http://flexible.img.hani.co.kr/flexible/normal/500/300/imgdb/original/2023/1228/20231228503807.jpg "[올해의 책] 숙제를 풀 실마리를 찾아, 다시 책으로 ②번역서")
