KB국민카드 고객들의 카드번호가 해커들의 '빈어택(BIN Attack)'으로 인해 노출되는 사건이 발생했지만 카드업계에서는 마땅한 재발방지책을 찾지 못하고 있는 것으로 알려졌다.
카드업계에 따르면 지난 6월 해커들의 '빈어택'에 의해 KB국민카드 고객 2000여명의 카드 일련번호가 노출되는 사건이 발생했다.
BIN(Bank Identification Number)'은 은행이나 카드사의 고유번호를 뜻하는 카드 일련번호 16자리 중 앞 6자리를 나타낸다. 해커들은 고정값으로 이루어진 빈 6자리를 유추해 나머지 10자리 숫자를 무작위로 조합하는 방식으로 진짜 카드번호를 알아낼 수 있다.
이번 사건에서 해커들은 알아낸 카드번호를 이용해 미국 아마존에 테스트성 1달러 결제를 요청했다. 카드번호의 유효여부를 확인하기 위한 방법이었다. 카드번호와 유효기간만 입력하면 되는 아마존의 결제방식을 악용한 것이다.
실제로 아마존의 결제 시스템은 결제시 카드번호와 카드 유효기간만을 요구한다. 아마존은 카드번호의 반복적인 입력 오류가 발생해도 로그인 제재와 같은 보안 시스템이 마련돼있지 않다. 결국 해커들은 이런 보안상 허점을 노려 매크로 프로그램 등으로 고객들의 카드번호를 알아내는 것이 가능한 셈이다.
피해사실은 카드번호 유출로 피해를 입은 국민카드 고객들이 온라인 커뮤니티에 '새벽에 외국에서 1달러씩 결제됐다'는 게시물을 올리며 확산됐다.
이에 KB국민카드 측은 '빈어택' 인지 후 바로 유출된 카드를 정지시키고, 해커들이 알아내기 어려운 방식의 새 카드번호를 발급해 추가 피해를 막았다고 밝혔다.
국민카드 홍보실 관계자는 "이번 빈어택 관련 빠른 사후대처로 금전적 피해는 발생하지 않았다"며 "다만 해킹과는 달리 무작위로 숫자를 유추하는 빈어택 방식 상, 일반인도 시도가능한 만큼 실질적인 대책마련은 어렵다"고 밝혔다.
이같은 빈어택은 카드사들에게 어제오늘 일이 아니다. 지난 2017년 씨티은행도 '빈어택'에 노출돼 금전적 손해가 발생한 바 있다.
카드업계 관계자들은 아마존 등 외국계 온라인몰을 통한 빈어택이 빈번하게 발생하고 있지만 근본적인 대책 마련은 힘들다는 반응이다.
한 카드업계 관계자는 "아마존은 국내 온라인몰과 달리 CVC나 비밀번호 등을 요구하지 않아, 카드번호와 유효기간만 알면 결제가 가능하다"며 "KB국민카드뿐 아니라 다른 카드사도 빈어택 공격에 대해 취약할 수밖에 없다"고 말했다.