'빈 공격'에 KB국민카드 2,000여명 카드번호 노출

아마존서 부정사용 감지...거래 정지

당국과의 공조로 추가피해 조기 방지

"해외 가맹점 빈 공격에 근본적 취약"

서울 종로구 KB국민카드 본사 전경/사진제공=KB국민카드

KB국민카드 고객 2,000여명의 신용카드 번호가 이른바 ‘빈(BIN) 공격’을 받아 노출되는 일이 발생했다.

3일 금융권에 따르면 KB국민카드는 지난달 24일 오후 8시∼25일 오전 8시 글로벌 전자상거래 사이트 아마존에서 부정사용이 감지돼 해당 카드의 승인을 취소하고 거래를 정지했다.

KB국민카드는 고객들에게 카드 재발급을 권유했으며 관련 패턴을 이상금융거래탐지시스템(FDS)에 반영했다. 빈 공격은 카드 일련번호 16자리 중 처음 6자리가 특정 은행이나 카드사의 특정 상품을 나타내는 고유 번호인 ‘빈(BIN) 번호’를 통해 카드번호를 알아내는 수법이다. 해커들은 무작위 번호 생성 프로그램을 통해 빈 번호를 제외한 10자리를 확인한다.

이번 빈 공격으로 유출된 카드번호는 2,000여건이며 부정사용 금액은 2,000여달러 수준인 것으로 알려졌다. KB국민카드의 한 관계자는 “즉각 해당 카드의 승인을 취소하고 거래를 정지시켜 해당 카드 이용자 피해는 발생하지 않았다”고 말했다.



아마존은 최초 결제 카드에 대해선 결제 가능한 카드인지를 확인하기 위해 카드사에 우선 1달러 결제 승인을 요청해 승인되면 이를 취소하고 본 결제를 진행한다. 해커들은 해킹 시도를 알아차릴 수 없도록 아마존 결제 방식의 ‘허점’을 노린 셈이다. 카드사 입장에선 1달러 결제 시도가 아마존의 요구에 따른 것인지 해커의 빈 공격인지 구분하기 쉽진 않지만 KB국민카드는 금융 당국과의 공조를 통해 추가 피해를 막았다.

카드업계는 아마존과 같은 해외 가맹점의 경우 빈 공격에 근본적으로 취약할 수밖에 없다고 보고 있다. 과거 국내 가맹점에서도 유사한 빈 공격 사례가 있어 온라인 결제 시 비밀번호 앞 2자리, 카드 뒷면 서명란에 기재된 CVC 번호 등을 입력하도록 개선 조치가 취해졌다. 반면 국내에 진출하지 않은 해외 가맹점에 대해선 이 같은 조치를 적용하기 어렵다.

신용카드사의 한 관계자는 “빈 공격은 매우 원초적인 공격으로 사전 차단은 불가능하지만 공격 특성상 대량의 승인거절이 발생하므로 모니터링을 통해 대응하고 있다”며 “사용자가 해외에서 카드를 사용할 일이 없을 경우 ‘해외이용 차단 설정’을 해서 필요한 경우에만 해외결제를 하는 것이 좋다”고 말했다.
/김기혁기자 coldmetal@sedaily.com