'빈(BIN)공격'으로 국민카드 고객 2000여명 카드번호 노출
'빈(BIN)공격'으로 국민카드 고객 2000여명 카드번호 노출
  • 이나경 기자
  • 승인 2019.07.03 11:54
  • 댓글 0
이 기사를 공유합니다

사진제공=연합뉴스
사진제공=연합뉴스

[비즈트리뷴=이나경 기자] 지난달 말 KB국민카드 고객 2000여명의 신용카드 번호가 ‘빈(BIN) 공격’을 받아 노출된 것으로 확인됐다.

3일 카드업계에 따르면 지난달 24일 오후 8시~25일 오전 8시에 글로벌 전자상거래 사이트 아마존에서 빈 공격으로 추정되는 부정사용이 감지돼 국민카드가 해당 카드의 승인을 취소하는 등 조치를 취했다.

국민카드는 이어 고객들에게 카드 재발급과 해외거래정지를 신청하도록 안내하고 공격 패턴을 이상금융거래 탐지시스템(FDS)에 반영했다. 현재 고객들의 카드 재발급 건은 완료한 상태다. 

빈 공격은 카드 일련번호 16자리 중 고유 번호인 처음 6자리를 제외한 나머지 10자리를 프로그램으로 알아내는 수법이다. 

이번 빈 공격으로 노출된 카드번호는 2000여건이고 부정사용 금액은 2000여달러지만, 국민카드의 대응으로 고객들의 금전적 피해는 없는 것으로 알려졌다.

부정사용 금액이 건당 1달러에 불과한 것은 빈 공격을 시도한 해커들이 아마존의 거래 행태를 범행에 활용했기 때문이다.

아마존은 결제 시 고객에게 카드번호와 유효기간만을 요구해 해커들이 무작위로 생성한 카드번호로 '결제실험'을 하는 타깃이 됐다.

아마존은 최초 결제 카드를 할 경우 결제 가능한 카드인지를 확인하기 위해 카드사에 1달러 결제 승인을 요청한다. 승인되면 이를 취소하고 본 결제를 진행하는 구조인 점을 해커들이 이용한 셈이다.

해커들이 1달러로 결제 시도를 하면 카드사 입장에서는 아마존이 결제 가능 카드인지를 확인하려는 1달러 승인 요청인지 해커들의 빈 공격인지 구분이 어렵다.

카드업계는 아마존과 같은 해외 가맹점은 빈 공격에 근본적으로 취약할 수밖에 없다는 입장이다.

카드업계 한 관계자는 “카드사들은 꾸준히 FDS를 업데이트하고 있지만, 해외 가맹점의 경우 결제할 때 카드번호와 유효기간만 요구해 보완이 어렵다”며 “이를 위해 해외가맹점을 잘 사용하지 않을 땐 해외거래정지를 신청해 놓는 것이 필요하다”고 덧붙였다.