KB국민카드가 해커들의 ‘빈 어택’(BIN Attack)을 받아 고객 2000여명의 신용카드 번호가 유출되는 사고가 발생했다.

3일 업계에 따르면, 지난달 25일 KB카드의 '로블 시그니쳐 비자' 카드의 실제 일련번호 약 2000개가 지난달 25일 해커들의 '빈 어택'으로 인해 유출됐다. ‘빈 어택’은 신용카드정보를 알아내기 위해 사용되는 해킹 방법 중 하나다. 

카드번호는 카드 발급자 식별을 위한 고유번호인 앞 6자리(BIN, Back Identification Number)과 나머지 10자리로 구성된다. 해커들은 특정 발급자나 특정 상품의 카드번호 앞 6자리가 동일하다는 점을 이용해 나머지 10자리 번호를 무작위 생성하는 방식으로 실제 카드번호를 알아냈다.

다만, 이번 해킹사고의 경우 KB카드의 조기 적발로 인해 피해 규모는 1인당 1달러 수준인 2000달러에 그친 것으로 알려졌다. 이는 해커들은 실제 카드번호를 알아내기 위해 글로벌 전자상거래업체 ‘아마존’의 ‘1달러 결제 승인’을 활용했기 때문인 것으로 보인다. 

아마존은 고객이 처음 카드결제를 시도할 때, 결제 가능한 카드인지 판별하기 위해 카드사에 1달러 결제 승인을 요청한다. 해커들이 아마존에서 1달러 결제를 시도할 경우 카드사로서는 해킹 시도인지 아마존의 확인 절차인지 구분하기 쉽지 않다.

국내 금융사가 ‘빈 어택’에 시달린 것은 이번이 처음은 아니다. 한국씨티은행은 지난 2017년 초부터 4월까지 빈 어택을 받아 카드 부정거래가 다수 발생해, 금융감독원으로부터 후속 조치 미흡을 이유로 제재를 받기도 했다.

저작권자 © 이코리아 무단전재 및 재배포 금지