KB국민카드가 해커들의 ‘빈(BIN) 공격’을 받아 고객 2000여명의 신용카드 번호가 노출되는 일이 발생했다.

카드사는 해커의 공격이 감지되자 해당 카드 사용을 정지시키는 등 신속한 조치를 취해 실제 피해로 이어지진 않았다.

3일 관련 업계에 따르면 KB국민카드는 지난달 24일 오후 8시에서 25일 오전 8시 사이에 글로벌 전자상거래 사이트 아마존에서 빈 공격으로 추정되는 부정사용이 감지돼 해당 카드의 승인을 즉각 취소하고 거래를 정지시켰다.

국민카드는 고객들에게 카드 재발급을 권유하고 관련 패턴을 ‘이상금융거래 탐지시스템(FDS)’에 반영했다.

빈 공격은 카드 일련번호 16자리 중 처음 6자리가 특정 은행이나 카드사의 특정 상품을 나타내는 고유 번호인 ‘빈(BIN, Bank Identification Number)’을 노리고 카드번호를 알아내는 수법이다. 빈 번호는 고정값이므로 이 6자리를 알면 나머지 10자리를 무작위로 번호를 생성시키는 프로그램을 활용해 알아낼 수 있다.

이번 빈 공격으로 유출된 카드번호는 2000여건이고, 부정사용 금액은 2000여 달러(약 234만2600원)로 파악됐지만 고객들이 금전적으로 피해를 보진 않은 것으로 나타났다.

부정사용 금액이 건당 1달러에 불과한 것은 빈 공격을 시도한 해커들이 아마존의 거래 행태를 범행에 활용했기 때문으로 보인다. 

아마존은 결제 시 고객에게 카드번호와 유효기간만을 요구해 해커들이 무작위로 생성한 카드번호로 ‘결제실험’을 하기가 용이하다. 아마존이 최초 결제 카드인 경우 결제 가능한 카드인지를 확인하기 위해 카드사에 우선 1달러 결제 승인을 요청해 승인되면 이를 취소하고 본 결제를 진행하는 점도 이번에 타깃이 됐다.

해커들이 1달러로 결제 시도를 하면 카드사 입장에서는 아마존이 결제 가능 카드인지를 확인하려는 1달러 승인 요청인지 해커들의 빈 공격인지 구분하기가 쉽지 않다. 물론 이번 경우는 조기에 적발돼 추가 피해가 발생하지 않았다.

KB국민카드 관계자는 “부정 사용이 감지되자마자 즉시 카드 승인을 취소하고 거래를 정지했다. 이 때문에 고객들의 금전적인 피해는 발생하지 않았다”며 “또 카드번호가 노출된 고객들에게는 카드 재발급을 권유해 카드를 교체해주고 있다”고 말했다.

이어 “관련 내용을 금융감독원에 신고하고, 또다시 이같은 사태가 벌어지지 않도록 관련 패턴을 이상금융거래 탐지시스템(FDS)에 등록하는 등 대비책을 강화하고 있다”고 덧붙였다.

금감원은 KB국민카드 측 과실이 아니고 금전적 피해도 없었던 만큼 별도의 검사 계획은 없는 것으로 알려졌다. 

---