KB국민카드 고객 2000여명의 신용카드 번호가 이른바 ‘빈(BIN) 공격’을 받아 노출되는 사고가 일어났다.
3일 금융권에 따르면, KB국민카드는 지난달 24일 오후 8시부터 25일 오전 8시까지 글로벌 전자상거래 사이트 아마존에서 부정사용을 감지하고 해당 카드의 승인을 취소한 후 거래를 정지시켰다.
빈 공격은 카드 일련번호 16자리 중 처음 6자리에 카드사의 특정 상품을 나타내는 고유 번호인 ‘빈(BIN) 번호’임을 노리고 이를 통해 카드번호를 알아내는 수법이다. 빈 번호는 고정값이기 때문에, 해커들은 무작위 번호 생성 프로그램을 통해 빈 번호를 제외한 10자리를 알아 낼 수 있다.
해커들은 카드번호가 유효한지 알아보기 위해 미국 아마존에 1달러 결제를 요청했다. 아마존은 최초 결제 카드에 대해서는 결제 가능한 카드인지 검증하기 위해 카드사에 우선 1달러 결제 승인을 요청하고, 이후 다시 승인을 취소하는 확인절차 시스템을 사용한다. 해킹시도를 알아차리기 어려운 아마존 결제방식의 허점을 노린 셈이다.
카드사의 입장에서 1달러 결제 시도는 아마존의 요구인지 해커의 빈 공격인지 구분하기 쉽지는 않지만, KB국민카드는 금융 당국과의 공조를 통해 추가 피해를 막았다.
KB국민카드는 고객들에게 카드 재발급을 권유했으며 관련 패턴을 이상금융거래탐지시스템(FDS)에 반영했다.
한편 국내 은행과 카드업계를 대상으로 빈 공격은 지속적으로 시도되고 있다. 지난 2017년 씨티은행도 체크카드 번호가 빈 공격으로 노출됐었다.
신용카드사의 한 관계자는 “빈 공격은 사전 차단은 불가능하지만, 공격 특성상 승인거절이 대량으로 발생하기 때문에 모니터링을 통해 대응하고 있다”며 “해외에서 카드를 사용할 일이 없을 경우, ‘해외이용 차단 설정’을 통해 필요한 경우에만 해외결제를 하는 것이 좋다”고 말했다.