`빈 어택`에 금융권 대응 고심, "마땅한 방법이..."

침해사고/위협동향

'빈 어택'에 금융권 대응 고심, "마땅한 방법이..."

디지털데일리 발행일 2019-07-07 10:07:51

이상일

[디지털데일리 이상일기자] 최근 금융권을 대상으로 한 빈어택 공격이 이어지면서 금융권의 대책마련이 시급해지고 있다. 카드 일련번호 16자리 중 처음 6자리가 특정 은행이나 카드사의 특정 상품을 나타내는 고유 번호인 ‘빈(BIN) 번호’라는 점을 노리고 나머지 번호를 무작위 매크로를 이용해 카드번호를 알아내는 방식이다.

K카드는 지난 24일 오후 8시부터 다음날 오전 8시까지 글로벌 전자상거래 사이트 '아마존'에서 2천여건의 부정 사용을 감지해 차단에 나섰으며 다른 카드사들도 K카드보다 규모는 적지만 비슷한 빈 어택을 당한 것으로 알려졌다.

씨티은행도 2016년 1월부터 2017년 4월까지 1년이 넘는 기간 동안 '페이팔'에서 부정 결제가 이루어졌으며 유사한 사례로, 최근 비트코인을 이용한 돈세탁에 BIN 어택이 사용된 사례가 있다.

관련업계에 따르면 신용카드 정보를 알아내기 위한 ‘피싱(phishing mothod)’, 카드를 카피하기 위한 ‘스키밍(skimming)’, 그리고 기존 카드 번호를 베이스로 새로운 카드 번호를 만들기 위해 BIN 어택 등 3가지가 사용됐다. 피해자들은 스페인 이스라엘 덴마크 독일 프랑스 그리스 등으로 여러 국가의 사례가 보고됐다.

해커가 사용한 방법은 카드번호 16자리 중 앞 6자리 외 나머지 고정된 10자리 번호와 카드 유효기간 4자리를 무작위로 맞춰보시는 식으로 실제 존재하는 카드번호인지 알아내는 방법이다.

아마존, 페이팔 등 모두 고객이 구매를 위해 카드 결제를 시도하면 실제 카드사에 1달러 결제승인을 의뢰해 카드의 유효성을 검증하는 절차를 가지고 있는데 해당 방법은 정상적인 방식으로 결제되어 카드사의 이상거래 탐지 시스템(FDS)도 발견하기 어렵다는 관측이다.

K카드의 경우 해당 카드의 승인 취소, 거래정지, 카드 재발급 등으로 대응하고 있지만 문제의 원천적인 해결책은 현재 없는 상황이다. 특히 해커가 언제든지 매크로 프로그램과 무작위 번호를 맞춰가며 또 다른 유효 카드번호를 대량 수집 가능하다는 점이 문제다.

업계 관계자는 “향후 유효한 카드번호에 대해 더 큰 금액 결제를 시도, 대량의 피해가 발생 할 가능성이 높다”고 밝혔다.

이에 따라 업계에선 핀테크 기술을 활용해 번호 노출 등에 대한 대응이 필요하다고 입을 모으고 있다.

사실 우리나라 핀테크 시장에서 물리적 신용카드 자체에 대한 혁신은 크게 눈길을 끌지 못하고 있다. 신용카드가 스마트폰 안으로 내재화되면서 신용카드 업계의 물리적 카드는 디자인을 내세우는 것에 그치고 있다. 실물카드 발급 없이도 신용카드 스마트폰 등록이 가능해지면서 물리적 신용카드에 대한 업계의 관심도 크지 않다.

때문에 신용카드 한 장에 여러 가지 신용카드가 들어가는 KT 등의 서비스가 나오기도 했지만 큰 주목을 받진 못했다.

반면 외국의 경우는 다르다. 아직 실물 카드에 대한 생태계가 유지되고 있고 비자와 마스터와 같이 시장에서 절대적 영향력을 가지고 있는 카드사들이 자신들의 지위를 유지하기 위한 다양한 생태계 지원 프로그램은 물론 실물카드에 대한 혁신도 꾸준히 지속해나가고 있는 상황이다.

이에 대해 글로벌 카드사들과 협업하고 있는 센스톤 유창훈 대표는 “고정된 카드번호가 계속 바뀐다면 이 문제는 해결될 수 있다”며 “카드 자체에 대한 기술개발도 꾸준히 추진되어야 한다”고 지적했다.

센스톤의 VOTC(Virture One-Time Code) 기술은 클라이언트 환경에서 매번 바뀌는 다이나믹 카드번호(Dynamic PAN)가 생성된다. 물리적 카드에는 어떠한 카드 정보도 보이지 않고, 개인의 휴대폰과 연결해 물리적 카드를 터치하면 다이나믹 카드번호가 생성되는 방식이다.

업계에 따르면 향후에는 물리적 카드 자체에서 다이나믹 카드번호를 생성하는 카드 출시도 예정되고 있어 우리나라에서도 실물카드 보안을 위한 다양한 기술 등을 검토할 필요가 있다는 지적이다.

<이상일 기자>2401@ddaily.co.kr

이상일

2401@ddaily.co.kr

기자의 전체기사 보기

이 기사와 관련된 기사

‘빈(BIN) 공격’으로 국민카드 고객 2000여명 카드번호 노출

당신이 좋아할 만한 뉴스

연재기사

실시간 추천 뉴스

'2개월 조업정지 악재' 영풍 석포제련소…'고려아연 경영권 분쟁' 여론전에 악재될라
2024-11-04 20:37:21
구글 위협하는 '퍼플렉시티 검색 AI' 자신감은?…“외부데이터까지 불러오는게 강점”
2024-11-04 18:35:17
유영상 SKT 대표 "AI 수익화? B2B서 속도낼 것" [현장]
2024-11-04 17:45:03
[현장] "sLM에 보이스피싱 데이터 학습"…에이닷, 내년 '온디바이스 AI' 구현
2024-11-04 17:10:22
[DD퇴근길] 최태원發 AI 돌풍 검증 받았다…엔씨, 12년만 적자전환
2024-11-04 17:10:15

회사명: ㈜디지털데일리｜제호: 디지털데일리｜등록번호 : 서울아00039｜등록발행연월일: 2005년 9월 6일｜사업자 등록번호: 101-86-13419
주소: (04057)서울특별시 마포구 신촌로14길 24(노고산동 54-46)｜대표전화: 02-334-7781｜Fax: 02-334-7782
대표자: 양경진｜편집국장: 채수웅｜개인정보·청소년보호책임자: 오주엽

뉴스

뉴스

기획/특집

부가서비스

이 기사와 관련된 기사

당신이 좋아할 만한 뉴스

많이 본 기사

연재기사

실시간 추천 뉴스