[아이뉴스24 최은정 기자] 결제시 본인인증이 미흡한 일부 해외 사이트에서 국내 카드사를 대상으로 한 '빈(BIN, Bank Identification Number) 공격'이 계속되고 있는 것으로 나타났다. 최근 해외 쇼핑 등 직구가 늘고 있는 만큼 사용자 주의가 요구된다.
31일 업계에 따르면 지난 설 연휴 전후로 롯데·신한·하나·현대카드 등 국내 주요 카드사 대상 빈 공격이 있었던 것으로 나타났다. 빈 공격은 번호 대입 프로그램 등으로 전체 카드번호를 알아내는 수법을 말한다.
카드 일련번호 16자리 중 앞 6자리가 카드사 특정 상품·은행을 나타내는 '빈' 번호이므로, 나머지 10자리에 번호를 무작위로 조합해 넣다보면 실제 카드번호가 완성될 수 있는 것.
![[이미지=아이뉴스24]](https://img-lb.inews24.com/image_gisa/202001/1579225535357_1_152955.jpg)
특히 해커는 카드결제시 카드번호, 유효기간 등만 입력하면 바로 결제로 이어지는 일부 해외 사이트를 통해 이 같은 공격을 지속하고 있다.
실제로 이번 설 연휴 기간 일부 소비자 커뮤니티에는 미국 등 해외결제 시도에 대해 카드사의 승인거절 문자를 받았다는 글이 여럿 올라왔다. 한 사용자는 미국 한 의류 사이트에서 약 1만5천910 달러(한화 약 1천894만 원) 가량의 결제 시도가 있었다며 문자를 캡처해 올리기도 했다.
다행히 국내 카드사 대부분이 보유한 실시간 부정거래방지시스템(FDS)으로 이상 결제시도를 곧바로 감지, 해외 사용제한 조치가 이뤄져 금전적 피해는 없는 것으로 알려졌다.
한 카드사 관계자는 "국내 사이트의 경우 카드결제시 통화, 문자메시지(SMS) 등으로 본인확인을 거치고, 유효성 확인코드(CVC) 값을 입력해야 하는 등 인증을 거치게 돼 있다"며 "일부 해외 사이트는 인증 시스템이 느슨한 경우가 많지만 이를 강제할 수 없다"고 말했다.
이어 "카드사에서는 FDS를 통해 빈 공격을 통한 불법결제를 차단하고 있다"며 "사용자가 보유 카드에 대해 전화, 웹사이트 등을 통해서 미리 해외이용 제한 조치를 해 놓은 것도 혹시 모를 피해를 예방할 수 있는 한 방법"이라고 덧붙였다.
보안업계 관계자는 "빈 공격은 번호를 무작위로 조작해 넣는 것이기 때문에 지금으로서는 이를 막을 방법은 없다"며 "다만 각 카드사에서 FDS 등 솔루션을 도입하고 있어 이를 통한 불법결제는 탐지·차단할 수 있다"고 설명했다.
최은정 기자 ejc@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기