카드업계 아마존 해킹에 고객정보 유출…실질적 해결 없이 제휴 이벤트 강행
해킹공격 지속적으로 변형돼 아마존 이용시 유출 가능성 여전
입력 : 2019-10-21 16:28:33 수정 : 2019-10-21 19:01:16
[뉴스토마토 최진영 기자] 카드업계가 아마존을 통해 발생한 무작위 카드번호 입력 해킹 빈 어택(BIN Attack)에 카드번호 유출이 일어남에도, 근본적인 해결책 없이 아마존과 할인 이벤트를 진행하고 있는 것으로 나타났다.
 
21일 카드업계에 따르면 국민·현대카드는 아마존과 제휴해 할인 이벤트를 벌이고 있다. 신한카드와 씨티카드는 각각 지난 7월, 5월에 아마존 할인 이벤트를 벌였다.
 
이에 대해 해외 오픈마켓에서 빈 어택을 통해 개인정보 유출이 발생했던 국민카드나 씨티카드가 소비자들에게 해외 쇼핑을 권하는 것을 두고 비판의 목소리가 나오고 있다.
 
국민카드의 경우 불과 3달 전 아마존을 통한 빈 어택이 행해졌고 총 2000건의 카드정보가 유출됐다.
 
씨티카드는 지난 2017년 5월에 씨티은행 노조에 의해서 빈 어택에 의한 카드 부정사용이 문제제기 됐다. 당시 노조는 씨티카드에서 1년이 넘는 기간 동안 페이팔 부정 결제가 이루어졌다고 밝혔다.
 
빈 어택의 빈은 은행이나 카드사의 고유번호(BIN, Bank Identification Number)를 의미한다. 통상 카드 일련번호 16자리 중 앞 6자리다. 해커들은 특정 카드의 앞 6자리가 같은 점을 포착해, 나머지 10자리 숫자를 프로그램으로 무작위 조합해 결제를 시도한다. 이를 통해 유효한 카드번호를 확인되는 해킹방식이다.
 
해커들은 국내 오픈마켓들과 달리 아마존이 카드번호와 유효기간만으로 결제를 승인한다는 점을 악용하는 것이다. 국내 오픈마켓은 CVC번호, 비밀번호 앞 2자리 등을 요구하고 있다.
 
 
아마존은 10월 현재 결제를 위해 카드번호와 유효기간만을 요구하고 있다. 사진=아마존 홈페이지
 
 
카드사들은 빈 어택으로 인한 고객정보 유출 이후 이상금융거래탐지시스템(FDS)을 고도화 하는데 집중하고 있다.
 
FDS란 전자금융거래 시 단말기 정보와 접속 정보, 거래 정보 등을 수집하고 분석해 의심스러운 거래나 평소와 같지 않은 금융 거래가 발생하면 이를 차단하는 시스템을 말한다.
 
하지만 10월 현재 아마존의 결제시스템은 변화가 없어 고객정보 유출 가능성이 해소됐다고 보기 어렵다. 카드업계에 따르면 국민카드, 씨티카드의 사례 이외에도 다수의 카드사에 대한 빈 어택 시도가 지속적으로 발생하고 있다.
 
이에 이경호 고려대학교 정보보호학부 교수는 "FDS에서 웬만한 정도의 공격시도는 방어가 가능하지만 공격자 입장에서도 FDS에 맞춰 변형을 한다"며 "해킹공격 시간, 일련번호 등을 무작위로 설정하는 등의 방식으로 FDS 회피를 지속한다"고 설명했다.
 
또 "금융기관의 속성상 FDS를 업그레이드를 했다고 하면, 같은 방식의 공격에 대해서는 굉장히 보수적으로 막았을 것"이라고 덧붙였다.
 
이 교수의 말대로 아마존의 결제시스템 변화가 없자 카드사들은 FDS를 보수적으로 운영하고 있다. 보수적인 FDS 운영이 정상적인 결제까지 막는 경우가 있다는 점을 고려하면 카드사나 소비자에게 모두 달갑지 않은 상황이다.
 
이와 관련 지난 2016년 SC제일은행은 아마존·페이팔 등 해외 오픈마켓에 대한 거래를 중단한 적이 있다. 해외 온라인 비인증거래 사고의 사전방지를 위해 내놓은 대책이었다.
 
이에 일각에서는 소비자의 불편을 초래할 수 있지만 정보유출 가능성이 있는 가맹점에 대한 SC제일은행 사례와 같은 강경한 조치도 필요하다는 입장이다.
 
카드업계 관계자는 "대부분의 카드사들은 아마존의 경우 빈 어택 가능성이 있다고 판단해 FDS 고도화로 대비하고 있다"며 "특정시간에 해킹으로 보이는 지속적인 카드번호 유효성 확인 시도가 인지되면 결제를 차단하고 있다"고 말했다.
 
최진영 기자 daedoo0531@etomato.com
 

ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지

  • 최진영

  • 뉴스카페
  • email