[스포츠서울 유경아 기자] KB국민카드가 이른바 ‘빈(BIN) 공격’을 받아 고객 2000여명의 신용카드 번호가 노출됐다.

3일 업계에 따르면 지난달 24일 오후 8시~25일 오전 8시 글로벌 전자상거래사이트 아마존에서 빈 공격으로 추정되는 KB국민카드 부정사용이 감지됐다. 국민카드는 피해 고객들의 카드 승인을 취소하고 거래를 정지했으며, 카드 재발급을 권유해 고객에 실질적인 피해는 발생하지 않았다. 관련 패턴은 이상금융거래 탐지시스템(FDS)에 반영됐다.

‘빈(BIN) 번호’은 신용카드 등의 일련번호 16자리 중 첫 6자리를 말한다. 이 숫자는 특정 은행이나 카드사 특정 상품 등을 나타내는 고유번호다. 이번에 문제가 된 ‘빈 공격’은 이 고유번호 6자리 외 10자리를 무작위로 생성시키는 프로그램을 활용해 카드 번호 16자리 전체를 알아내는 수법이다.

이번 사고의 부정사용 금액은 2000여달러다. 아마존이 최초 결제 카드일 경우 결제 가능한 카드인지 확인하기 위해 1달러 결제 승인을 먼저 요청하고, 승인되면 이를 취소하고 본 결제를 진행하기 때문에 해커들이 이를 노려 ‘결제실험’을 한 것으로 보인다. 아마존은 결제 시 고객에게 카드번호와 유효기간만을 요구해 해커들이 무작위로 생성한 카드번호로 ‘결제실험’을 하기가 용이하다.

이번 경우는 조기에 적발돼 추가 피해가 발생하지 않았다. 과거 국내 가맹점에서도 이와 유사한 빈 공격 사례가 있어 현재는 비밀번호 앞 2자리, 카드 뒷면 서명란에 기재된 CVC 번호 등을 입력하도록 개선 조치가 취해졌다.

카드업계 관계자는 “‘빈 공격’을 원천차단 하기는 힘들기 때문에 피해 방지를 위해서는 ‘해외 결제 차단’ 설정 후 필요할 때마다 해제 해 이용하는 게 좋다”고 말했다.

yooka@sportsseoul.com