KB국민카드, '빈(BIN)공격'에 고객 2000여명 카드번호 노출

해커들의 '빈(BIN) 공격'으로 인해 KB국민카드 고객 2000여명의 신용카드 번호가 노출되는 사고가 발생했다.

3일 카드업계에 따르면 KB국민카드는 지난달 24일 오후 8시부터 25일 오전 8시 사이 글로벌 전자상거래 사이트 아마존에서 빈 공격으로 추정되는 부정사용을 감지, 해당 카드의 승인을 취소하고 거래를 정지했다.

KB국민카드는 고객들에게 카드 재발급을 권유하고 관련 패턴을 이상금융거래 탐지시스템(FDS)에 반영했다.

빈 공격이란 카드 일련번호 16자리 중 앞의 6자리 '빈(BIN) 번호'를 알아낸 후 나머지 10자리 숫자를 무작위로 대입해 전체 카드번호를 골라내는 해킹수법이다.

빈 번호는 특정 은행이나 카드사의 특정 상품을 나타내는 고유 번호로 고정값이다. 이 6자리를 알면 나머지 10자리는 무작위로 번호를 생성시키는 프로그램을 활용해 알아낼 수 있다.

이번 빈 공격으로 노출된 KB국민카드 고객의 카드번호는 2000여건, 부정사용 금액은 2000여달러로 집계됐다.

해커들은 보다 쉽게 카드번호를 알아내기 위해 결제 시 카드번호와 유효기간만을 요구하는 아마존을 이용했다. 아마존은 국내 가맹점과 달리 비밀번호 앞 2자리, 카드 뒷면 서명란에 기재된 CVC번호 등을 입력하는 절차가 없다.

또한 아마존이 최초 결제 시 카드사에 우선 1달러 결제 승인을 요청해 승인되면 이를 취소하고 본 결제를 진행하는 점도 해커들의 타깃이 됐다. 해커들이 1달러로 결제 시도를 하면 카드사 입장에서는 아마존이 결제 가능 카드인지를 확인하려는 1달러 승인 요청인지 해커들의 빈 공격인지 구분하기가 쉽지 않다.

카드업계에서는 아마존과 같은 해외 가맹점의 경우 빈 공격에 취약할 수밖에 없어 이 같은 사고가 재발할 수 있다는 우려가 나온다.

[사진=게티이미지뱅크]