KB국민카드, 고객 카드번호 노출 논란… 빈어택에 '속수무책' 카드업계
KB국민카드, 고객 카드번호 노출 논란… 빈어택에 '속수무책' 카드업계
2019.07.04 16:32 by 유선이
사진=KB국민카드
사진=KB국민카드

 

KB국민카드 고객들의 카드번호가 해커들의 '빈어택(BIN Attack)'으로 인해 노출되는 사건이 발생했지만 카드업계에서는 마땅한 재발방지책을 찾지 못하고 있는 것으로 알려졌다.

카드업계에 따르면 지난 6월 해커들의 '빈어택'에 의해 KB국민카드 고객 2000여명의 카드 일련번호가 노출되는 사건이 발생했다. 

BIN(Bank Identification Number)'은 은행이나 카드사의 고유번호를 뜻하는 카드 일련번호 16자리 중 앞 6자리를 나타낸다. 해커들은 고정값으로 이루어진 빈 6자리를 유추해 나머지 10자리 숫자를 무작위로 조합하는 방식으로 진짜 카드번호를 알아낼 수 있다.

이번 사건에서 해커들은 알아낸 카드번호를 이용해 미국 아마존에 테스트성 1달러 결제를 요청했다. 카드번호의 유효여부를 확인하기 위한 방법이었다. 카드번호와 유효기간만 입력하면 되는 아마존의 결제방식을 악용한 것이다. 

실제로 아마존의 결제 시스템은 결제시 카드번호와 카드 유효기간만을 요구한다. 아마존은 카드번호의 반복적인 입력 오류가 발생해도 로그인 제재와 같은 보안 시스템이 마련돼있지 않다. 결국 해커들은 이런 보안상 허점을 노려 매크로 프로그램 등으로 고객들의 카드번호를 알아내는 것이 가능한 셈이다.

피해사실은 카드번호 유출로 피해를 입은 국민카드 고객들이 온라인 커뮤니티에 '새벽에 외국에서 1달러씩 결제됐다'는 게시물을 올리며 확산됐다. 

이에 KB국민카드 측은 '빈어택' 인지 후 바로 유출된 카드를 정지시키고, 해커들이 알아내기 어려운 방식의 새 카드번호를 발급해 추가 피해를 막았다고 밝혔다.

국민카드 홍보실 관계자는 "이번 빈어택 관련 빠른 사후대처로 금전적 피해는 발생하지 않았다"며 "다만 해킹과는 달리 무작위로 숫자를 유추하는 빈어택 방식 상, 일반인도 시도가능한 만큼 실질적인 대책마련은 어렵다"고 밝혔다. 

이같은 빈어택은 카드사들에게 어제오늘 일이 아니다. 지난 2017년 씨티은행도 '빈어택'에 노출돼 금전적 손해가 발생한 바 있다.

카드업계 관계자들은 아마존 등 외국계 온라인몰을 통한 빈어택이 빈번하게 발생하고 있지만 근본적인 대책 마련은 힘들다는 반응이다.

한 카드업계 관계자는 "아마존은 국내 온라인몰과 달리 CVC나 비밀번호 등을 요구하지 않아, 카드번호와 유효기간만 알면 결제가 가능하다"며 "KB국민카드뿐 아니라 다른 카드사도 빈어택 공격에 대해 취약할 수밖에 없다"고 말했다. 
 




The First 추천 콘텐츠 더보기
  • 스타트업은 서울로, 서울은 스타트업으로
    스타트업은 서울로, 서울은 스타트업으로

    대한민국 수도 서울이 스타트업의 중심지로 거듭나기 위해 꿈틀대는 모습이다. 서울시는 스타트업 생태계에서 예산과 정책 지원을 넘어 주도적이고 선도적인 움직임을 보이고 있다. 미래 서...

  • 벤처협회-한화생명, ‘스타트업 육성’ 손 맞잡다
    벤처협회-한화생명, ‘스타트업 육성’ 손 맞잡다

    우수인력 육성과 벤처 생태계 정책 개발에 주력키로.

  • 안랩, AI 보안 스타트업 제이슨 인수
    안랩, AI 보안 스타트업 제이슨 인수

    지분 60% 인수, 독립 자회사 형태로 운영.

  • 지긋지긋한 발표 공포증. “걱정 말아요, 그대”
    지긋지긋한 발표 공포증. “걱정 말아요, 그대”

    상당히 많은 이들은 무대를 두려워한다. 중요한 발표가 있다면 여기 주목해보자. 

  • ‘안전함을 위한 완전함을 기치로’ 재난·재해 막는 스타트업들
    ‘안전함을 위한 완전함을 기치로’ 재난·재해 막는 스타트업들

    우리 시대의 안전지키미를 자처한 스타트업들을 소개합니다.

  • ‘뿔난’ 벤처협회·코스포 “인터넷 규제 논의 전면 재검토해야”
    ‘뿔난’ 벤처협회·코스포 “인터넷 규제 논의 전면 재검토해야”

    "소수 행위 근절하려다 대다수 선량한 이용자 권리 침해"

  • 스타트업 ‘두 규제 이야기’
    스타트업 ‘두 규제 이야기’

    ‘CVC’, 그리고 과도한 망 비용. 창업가들의 발목을 잡는 크고 작은 규제들.

  • 애플, AI 소프트웨어 스타트업 2억불에 인수
    애플, AI 소프트웨어 스타트업 2억불에 인수

    아이폰·아이패드·애플워치에 AI 칩이 탑재될까?