피해 보고 없지만, 해외 결제 주의
개인정보 유출에 따른 결제 피해도
연합뉴스
15일 신한카드와 금융감독원에 따르면 신한카드 일부 제휴카드에서 16자리 번호 중 14~15자리가 서로 같고 유효기간이 동일한 사례가 여러 건 확인됐다. 같은 달에 발급된 카드에 번호가 순차적으로 부여됐거나 비슷한 번호가 집중적으로 부여됐다는 의미다. 실제 문제가 된 카드의 번호 마지막 4자리 중 끝자리의 번호만 바꾸고 유효기간을 동일하게 입력한 결과 정상적인 카드로 인식돼 다음 결제단계로 넘어가는 것으로 확인됐다.
국내 온라인 쇼핑몰의 경우 CVC번호 등을 추가로 요구하지만 일부 해외업체들은 카드번호와 유효기간 조합만으로 결제가 가능한 곳들이 있어 주의가 필요하다.
일반적으로 카드번호 16자리 중 처음 6자리는 특정 은행·카드사의 상품을 나타내는 고유번호인 ‘빈(BIN) 번호’라고 부른다. 이외 나머지 번호와 유효기간을 무작위로 생성, 정상적인 번호와 유효기간 정보를 탈취하는 수법을 ‘빈 공격’이라고 부르는 것도 이 때문이다. 그러나 이번 신한카드에서 발견된 문제점은 카드 번호 마지막 자리만 바꾸고 같은 유효기간을 입력해도 실제 존재하는 조합이라 정상 결제가 가능한 상황이다.
신한카드 관계자는 “특정 제휴카드의 번호 부여체계에 문제가 있는 것으로 파악됐다”면서도 “나머지 카드의 번호 부여에는 문제가 없다”고 말했다.
신한카드는 문제의 카드에 대해 부정사용방지시스템(FDS) 감시를 강화하고 번호체계 개편을 검토하겠다고 금융감독원에 보고했다. 다만 부정사용을 우려해 해당 카드 상품과 잘못된 번호 부여방식이 무엇인지는 공개하지 않았으며 카드 사용을 중지하지도 않았다. 금감원은 14일 전 카드사를 대상으로 별도 회의를 개최, 카드번호 발급체계를 자체 점검하도록 지도했다.
한편 신한카드 정보 수십 건이 유출돼 최근 국내 이커머스에서 상품권 결제에 도용된 피해가 발생해 경찰이 수사에 착수했다. 전날까지 신한카드 40명 정도 고객이 자신이 쓰지도 않았는데 명의도용으로 합계 6000만원 규모가 결제됐다고 전했다. 지난 13일까지 피해 규모가 3000만원 정도였던 점을 고려하면 향후 피해액이 더 늘어날 가능성도 있다.
신한카드는 이번 사건의 경우 전산 시스템의 문제나 오류가 아닌 사전에 유출된 개인정보로 결제된 것으로 보고 있다. 결제 시 고객에게 안내되는 통신사 본인인증 문자메시지를 피의자가 악성 프로그램을 활용해 탈취했다는 설명이다. 신한카드는 부정사용 금액에 대해 먼저 보상할 계획이라고 밝혔다.
Copyright ⓒ 서울신문 All rights reserved. 무단 전재-재배포, AI 학습 및 활용 금지
