해외 '빈(BIN) 공격' 받은 KB국민카드, 재빠른 대처에 "이상 무"

고객 2000여명 카드 번호 노출됐지만 ‘고객 개인 정보’ 유출은 없어

KB국민카드 "카드 번호 노출 고객, 카드 번호 재발급 진행"

▲KB국민카드 본사 전경 (사진=연합)

[에너지경제신문=이유민 기자] KB국민카드 고객 2000여명의 신용카드 번호가 ‘빈(BIN) 공격’을 받아 노출됐지만, KB국민카드 측의 재빠른 대처에 노출이 확대되지 않고 마무리됐다. 과거에도 빈 공격에 따른 카드사의 카드번호 노출 사건이 발생했던 만큼, 추후 발생할 수 있는 빈 공격에 대한 카드사 공통의 대응 방안 마련이 중요해졌다.

3일 업계에 따르면 지난달 24일 오후 8시∼25일 오전 8시 글로벌 전자상거래 사이트 아마존에서 빈 공격으로 추정되는 부정사용이 감지돼 KB국민카드가 해당 카드의 승인을 취소하고 거래를 정지했다. 국민카드는 이어 고객들에게 카드 재발급을 권유하고 관련 패턴을 이상금융거래 탐지시스템(FDS)에 반영했다.

빈 공격은 카드사의 정보망에 침투하는 ‘해킹’과는 다른 성격이다. 빈 공격이란 카드 일련번호 16자리 중 처음 6자리가 특정 은행이나 카드사의 특정 상품을 나타내는 고유 번호인 ‘빈(BIN) 번호’임을 노리고 카드번호를 알아내는 수법이다. 빈 번호는 고정값이므로 이 6자리를 알면 나머지 10자리를 무작위로 번호를 생성시키는 프로그램을 활용해 알아낼 수 있다.

이처럼 빈 공격은 빈 번호만 알면 시도할 수 있는 탓에 과거 씨티은행에서도 빈 공격을 통한 해외 카드부정 사용 사건이 발생하기도 했다.

이번 빈 공격으로 노출된 KB국민카드의 카드번호는 2000여건에 달하며 부정사용 금액은 2000여달러다. 부정사용 금액이 건당 1달러에 불과한 것은 빈 공격을 시도한 해커들이 아마존의 거래 행태를 범행에 활용했기 때문으로 추정된다. 아마존은 결제 시 고객에게 카드번호와 유효기간만을 요구해 해커들이 무작위로 생성한 카드번호로 ‘결제실험’을 하기가 용이하다. 아마존이 최초 결제 카드인 경우 결제 가능한 카드인지를 확인하기 위해 카드사에 우선 1달러 결제 승인을 요청해 승인되면 이를 취소하고 본 결제를 진행하는 점도 이번에 타깃이 됐다.

KB국민카드 관계자는 "해외에서 빈 어택을 받았지만, 고객 피해가 없도록 신속하게 조치했다"고 말했다.

한편, 빈 공격은 KB국민카드 뿐 아니라 불특정 다수의 카드사에게도 충분히 발생할 수 있는 사고인만큼 전 카드사가 공동으로 대응 방안을 마련해야 한다는 목소리도 들린다. 한 카드업계 관계자는 "추후 발생할 수 있는 빈 공격에 선제적으로 대응하기 위해 여러 카드사들이 모여 방안을 준비해놔야 한다"고 말했다.