해커들이 지난달 말 KB국민카드 고객 2000명의 신용카드 번호를 빼내간 것으로 확인됐다. KB국민카드는 확인 즉시 해당 카드 사용을 정지시키고 해커들이 알아내기 어려운 방식의 새 카드번호를 발급해 고객들의 금전적 피해는 없었다.
3일 카드업계에 따르면 KB국민카드의 ‘로블 시그니쳐 비자’ 카드의 실제 일련번호 2000개가 지난달 24일 새벽부터 25일까지 ‘빈 어택’이라는 해킹 방법을 통해 해커 손으로 넘어갔다.
은행이나 카드사의 고유번호를 뜻하는 ‘빈((BINㆍBank Identification Number)’은 통상 카드 일련번호 16자리 중 앞 6자리를 가리킨다. 이 6자리엔 각각 의미가 있다. 예를 들어 국내 전용 카드는 모두 ‘9’로 시작하고, 국내외 겸용일 경우엔 비자가 ‘4’, 마스터가 ‘2’ 또는 ‘5’로 시작한다. 해커들은 특정 카드의 앞 6자리를 유추해 고정시켜놓고, 나머지 10자리 숫자를 무작위 조합해 진짜 카드번호를 골라낸다.
해커들은 카드번호가 유효한지를 알아보기 위해 미국 아마존에 1달러 결제를 요청했다. 아마존은 신용체크카드 번호와 카드 유효기간만 알면 카드 결제가 가능하다. 승인이 되면 곧바로 결제를 취소하고 카드 번호를 팔아넘기는 식이다. 이 과정에서 소비자들이 온라인 커뮤니티에 ‘새벽에 외국에서 1달러씩 결제됐다’는 글을 올리며 피해가 드러났다.
KB국민카드는 빈어택 사고를 인지한 뒤, 피해 카드 사용을 우선 정지시키고 해커들이 알아내기 어려운 방식의 새 카드 번호를 발급했다. 금융감독원 역시 KB국민카드 측의 과실로 인한 고객 피해가 아닌데다, 실제 금전적 피해도 없었던 만큼 별도의 검사 계획은 없는 것으로 알려졌다.
한편 국내 은행과 카드업계를 대상으로 한 빈 어택은 지속적으로 시도되고 있다. 지난 2017년 씨티은행도 체크카드 번호가 빈 어택으로 노출됐었다. 카드업계 관계자는 "전 카드사가 1년 내내 빈 어택을 받고 있다"며 "빈 어택을 방지할 수 있는 방안을 강구 중"이라고 말했다.