[시사포커스 / 김은지 기자] KB국민카드가 일명 ‘빈(BIN)어택’으로 카드번호 2000개가 노출됐다. 하지만 해당 사안은 해커가 일반적인 해킹 방식으로 프로그램에 침투해 노출시켰다기보다는, 누구나 할 수 있는 방법으로 ‘숫자 돌리기’를 적용했다는 설명이다.

BIN(Bank Identification Number)은 카드사의 고유번호로, 통상적으로 카드 일련번호 16자리 중 앞 6자리를 말한다. ‘BIN어택’은 해커들이 실제 고객의 카드번호를 알아내기 위해 사용하는 방법으로, 지난 2017년 한국씨티은행 체크카드에서 비슷한 사례가 발생해 처음 이름이 붙여진 것으로 알려졌다.

해커들은 특정 카드의 앞 6자리가 같은 점을 보고 나머지 10자리 숫자를 프로그램으로 무작위로 조합해 실제 결제를 시도하고 ‘진짜 카드번호’를 골라내게 된다는 설명이 일반적이다.

4일 금융감독원과 카드업계에 따르면, KB국민카드의 ‘로블 시그니쳐 비자’ 카드의 일련번호 2000개가 지난달 25일 해커들에 의해 빈 어택을 당했다.

당시 온라인 소비자 커뮤니티에는 “로블 시그니쳐 카드 일련번호가 새 나갔다” “새벽에 외국에서 1달러씩 결제됐다”는 글들이 게재된 것으로 전해졌다. 해커들은 카드번호와 유효기간만 알면 결제가 가능한 미국 아마존에 1달러 결제를 요청하고서는, 승인이 되면 곧바로 결제를 취소해 카드 번호를 팔아넘기는 과정에서 피해 사실이 알려진 것으로 나타났다.

또 다른 문제는 ‘BIN어택’ 해커들이 알아낸 카드 번호로 일반 물품을 구매하는 대신, 온라인 마약 유통 공간으로 잘 알려진 ‘다크웹’에 팔아넘긴다는 것이었다. 번호가 노출된 고객은 자신도 모르게 마약구매자가 돼있을 수도 있다는 우려도 제기됐다.

이와 관련해 금감원 관계자는 “사고 직후 KB국민카드 측에서 금감원에 사실을 통보하고 관련 정보 코드를 알려줘 다른 카드사에도 예방할 수 있도록 정보를 알리는 등 잘 처리된 사안”이라며 “현재 카드사들은 FDS라는 인증시스템을 통해 의심 가능한 거래를 사전에 확인하고 집중적으로 모니터링 하고 있으며, 유사 거래 패턴이 들어오면 사전 거절 조치가 진행되는데 이번 사안이 그렇다”고 설명했다.

추가적으로 본지가 다른 카드사들도 최근 규모는 작지만 비슷한 빈어택을 당한 것에 대해서 묻자, “현재 언론에 관련 기사가 많이 나갔기 때문에 카드사에서 더 주의하고 있는 상황”이라고 답했다.

KB국민카드 관계자는 “빈어택은 해킹으로 인한 유출이라기보다는 숫자 돌리기에 가깝다”며 “예를 들어 네 자리 숫자를 맞춰야 열리는 자전거 자물쇠를 0부터 9까지 네 가지 숫자조합을 일일이 누르면 맞출 수 있는 것 같이, 빈어택도 0000에서 9999까지 만 번을 돌리는 시스템인데 이를 확인하기 위해 아마존에서 테스트한 것“이라고 말했다.

이어 “우리나라에서는 온라인 카드결제를 이용할 경우 CVC번호까지 입력해야 하는 데 반해, 아마존에서는 카드번호와 유효기간만 입력하면 되 악용된 케이스”라며 “이번 사고 피해자 2000명의 카드는 정지됐으며, 원하는 고객에게 새로운 번호가 적용되도록 재발급해 더 이상의 피해는 없을 것”이라고 덧붙였다.