(뉴스리듬)카드업계, '소비자 정보 유출' 아랑곳...대책 없이 '이벤트만'
(리포트)해킹 통로 아마존과 실질적 해결 없이 제휴 이벤트 강행
입력 : 2019-10-22 17:44:49 수정 : 2019-10-22 17:44:49
카드업계 아마존 할인 이벤트 강행
정보유출 사례 있으나 해외 쇼핑 권해
아마존, 페이팔 등 미인증거래 악용 빈번
국내 카드업계는 이상거래 탐지 집중
아마존 결제시스템 여전히 해킹에 취약
“FDS 고도화 근본적 해결책 되지 못해” 
 
 
[뉴스토마토 최진영 기자]
 
[앵커]
 
카드업계가 아마존을 타고 들어온 이른바 '빈 어택(BIN Attack)'으로 소비자 카드번호가 유출됐지만 근본적인 해결책 없이 아마존과 할인 이벤트 중인 것으로 뉴스토마토 취재결과 확인됐습니다. 빈 어택이란 카드 일련번호 열 여섯자리 중 첫 여섯자리가 특정 은행이나 카드사의 특정 상품을 나타내는 고유 번호인 ‘빈(BIN) 번호’라는 점을 노리고 나머지 번호를 무작위 매크로를 이용해 카드번호를 알아내는 방식입니다. 보도에 최진영 기잡니다.
 
[기자]
 
카드업계가 아마존을 통해 발생한 빈 어택(BIN Attack)에 카드번호 유출이 일어났음에도 근본적인 해결책 없이 아마존과 할인 이벤트를 진행하고 있는 것으로 나타났습니다.
 
21일 카드업계에 따르면 국민·현대카드는 아마존과 제휴해 할인 이벤트를 벌이고 있습니다. 신한카드와 씨티카드는 각각 지난 7월, 5월에 아마존 할인 이벤트를 벌였습니다.
 
이에 대해 해외 오픈마켓에서 빈 어택을 통해 개인정보 유출이 발생했던 국민카드나 씨티카드가 소비자들에게 해외 쇼핑을 권하는 것을 두고 비판의 목소리가 나오고 있습니다.
 
빈 어택의 빈은 은행이나 카드사의 고유번호로 통상 카드 일련번호 16자리 중 앞 6자리입니다. 해커들은 특정 카드의 앞 6자리가 같은 점을 포착해, 나머지 10자리에 무작위 조합으로 결제를 시도합니다. 이를 통해 유효한 카드번호를 확인되는 해킹방식입니다.
 
해커들은 국내 오픈마켓들과 달리 아마존이 카드번호와 유효기간만으로 결제를 승인한다는 점을 악용하고 있습니다.
 
카드사들은 빈 어택으로 인한 고객정보 유출 이후 이상금융거래탐지시스템(FDS)을 고도화 하는데 집중하고 있습니다.
 
FDS란 전자금융거래 시 단말기 정보와 접속 정보, 거래 정보 등을 수집하고 분석해 의심스러운 거래나 평소와 같지 않은 금융 거래가 발생하면 이를 차단하는 시스템을 말합니다.
 
하지만 10월 현재 아마존의 결제시스템은 국민카드 빈 어택 고객정보 유출때와 차이가 없어 고객정보 유출 가능성이 해소됐다고 보기 어렵습니다.
 
[이경호 고려대학교 정보보호학부 교수]
 
"FDS에서 웬만한 정도는 다 블락(방어)이 다 가능하다. 그런데 이제 이게 공격자 입장에서도 FDS에 맞춰 변형을 한다. (해킹공격) 시간을 늘리거나, 일련번호를 무작위로 넣는 등 이런 방식으로 회피를 한다. 그 다음에 한번 시도한 시간과 다음 시도까지의 시간을 벌리는 것…"
 
[기자]
 
이처럼 보수적인 FDS 운영이 정상적인 결제까지 막는 경우가 있다는 점을 고려하면 카드사나 소비자에게 모두 달갑지 않은 상황입니다.
 
늘어가는 해외 직접구매 수요에 카드업계의 보안 대책 마련이 시급해 보입니다.
 
뉴스토마토 최진영입니다.
 
 
최진영 기자 daedoo0531@etomato.com
 
 
  

ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지

  • 최진영

  • 뉴스카페
  • email