2024년 11월 26일(화)

KB 국민카드 고객 '2천명' 카드번호, 해커들에게 탈탈 털렸다

인사이트기사와 관련 없는 자료 사진 / gettyimagesBank


[인사이트] 전준강 기자 = 6월 말 KB 국민카드 고객 2천명의 신용카드 번호가 해커들 손에 쥐어진 것으로 전해졌다.


비록 금전적인 피해는 없었지만 애먼 고객들이 피해를 봤다.


3일 카드업계 관계자들에 따르면 KB 국민카드의 '로블 시그니쳐 비자' 카드의 실사용 일련번호 2천개가 '빈(BIN) 어택' 이라는 방식으로 해커들 손에 들어갔다.


빈(BIN)은 은행·카드사의 고유번호를 뜻한다. 영어를 풀어쓰면 Bank Identification Number다. 보통 카드 전체 16자리 중 앞자리 6개를 가리킨다. 


인사이트 / 사진=고대현 기자 daehyun@사진=고대현 기자 daehyun@


고정값인 빈 번호를 파악하면 나머지 10자리는 '무작위'로 번호를 생성시키는 프로그램을 통해 총 16자리 카드 번호를 만들 수 있다.


이 카드 번호로 인터넷 쇼핑몰에서 거래를 시도하고, 만약 거래가 된다면 해당 번호는 '실사용 카드'라는 뜻이다. 


해커들은 이를 위해 미국 글로벌 전자 상거래 사이트 아마존에서 1달러 결제를 요청했다.


결제 승인이 떨어진 카드는 총 2천개였다. 즉 해커들 손에 2천개의 국민카드 번호가 들어간 것이다.  


휴대폰으로 '결제 승인' 문자를 받은 소비자들은 당황했고, 온라인 커뮤니티에 이 이야기를 올렸다.


인사이트 / 사진=고대현 기자 daehyun@사진=고대현 기자 daehyun@


이후 같은 문자를 받았다는 사람들이 쏟아져 나왔다. 사태 심각성을 느낀 KB 국민카드는 피해 카드 사용을 우선 정지시켰다. 이후 해커들이 파악하기 어려운 방식의 새 카드 번호를 발급했다.


KB 국민카드 관계자는 인사이트에 "회사가 해커들에게 해킹당한 게 아니다"라고 해명했다. 


이어 "빈 어택을 가한 무리들은 아마존이 상품을 결제할 때 'CVC' 번호를 입력하지 않는다는 특성을 노렸다"면서 "카드 뒷편에 적힌 CVC 번호를 입력해야만 결제가 되는 한국에서는 결제될 수 없다"고 말했다. 


그러면서 "사건 발생 후 다른 카드사들에게도 정보를 전달하며 공조했고, 고객들에게도 피해가 가지 않도록 조치했다"고 덧붙였다. 


한편 아마존은 최초 결제 카드의 경우 '결제 가능 카드'인지를 확인하기 위해 카드사에 우선 1달러 결제 승인을 요청한다.


이것이 승인되면 이를 취소하고 본 결제를 진행하는 방식을 취하고 있다. 이 때문에 카드사는 아마존이 1달러 결제를 승인한 뒤 취소하면 '해킹 범죄'인지 쉽게 파악하지 못한다.