빈어택 공격에 의한 카드 부정결제 사고 속출하자
SC제일은행, 해외 온라인가맹점 거래 제한 조치
일각에선 “고객 편의성 저해…보안수준을 높여야”

<대한금융신문=김민수 기자> 요즘은 카드 한 장만 있으면 인터넷을 통해 전세계 어디서든 물건을 구입할 수 있다. 그러나 온라인상에서 거래되는 돈은 종종 해커들의 표적이 되기도 한다. 이 때문에 금융회사들은 고객의 결제 편의성을 높이는 동시에 높은 보안수준을 충족해야 한다.

◆고객 편의보다 보안 강조한 은행…과연 옳을까 
금융권에 따르면 SC제일은행은 지난 8일부터 페이팔, 아마존 등 해외 온라인사이트에서 비자(VISA), 마스터(Master) 브랜드 체크카드 결제를 중단했다.

SC제일은행은 체크카드 해외 온라인 거래 시 발생할 수 있는 사고를 사전에 방지하기 위한 대책이라며, 사고 위험이 높은 가맹점 및 비인증거래에 대한 결제를 제한했다고 밝혔다.

이번 조치로 거래가 불가해진 해외 온라인사이트는 페이팔, 마이크로소프트, 우버, 아마존, 구글플레이 등 비인증거래 가맹점 및 여행, 항공, 도박, 주유, 카지노, 렌터카 등 T&E(Travel & Entertainment)업종이다.

이들 업종은 사이트에 카드번호, 유효기간, CVC(Card Validation Code)번호 등의 카드정보를 미리 저장해두고 결제 시 한 가지 카드정보만 입력하면 승인이 이뤄지는 비인증거래 방식을 사용한다. 이에 숫자를 무작위로 입력해 정확한 값이 나오게 하는 ‘빈어택(Binattack)’ 공격으로 인한 부정사용 발생 위험이 인증거래 가맹점보다 높은 편이었다.

실제 페이팔의 경우 부정사용 발생률이 0.3%로, 국내 카드 부정사용 발생률(0.004%)에 비해 높은 수준이다.

SC제일은행 관계자는 “고객 편의를 위해 체크카드 해외 온라인 결제를 시행했으나 최근 빈어택 공격으로 인한 부정사용이 발생한 것으로 파악됐다”며 “이러한 비인증거래 서비스가 사고개연성이 있다고 판단, 고객 피해를 원천 차단하기 위해 이 같은 조치를 취하게 됐다”고 설명했다.

이어 “신용카드는 결제일에 한 번에 금액이 출금되는 만큼 부정사용으로 인한 결제 취소가 비교적 쉬운 반면 체크카드는 결제액이 바로 출금돼 피해가 더 크다는 측면에서 체크카드 결제를 제한키로 했다”고 말했다.

다만 해외 온라인 인증거래 가맹점, T&E업종을 제외한 해외 오프라인 가맹점, 해외 ATM 출금 등은 기존처럼 체크카드 사용이 가능하다.

일각에서는 SC제일은행의 이러한 대응이 고객 편의성을 저해한다고 지적한다.

금융권 한 관계자는 “원초적이고 단순한 해킹공격인 빈어택으로 인한 부정거래 발생 건수는 그다지 많지 않고 피해금액도 소액 수준”이라며 “사고가 발생하지 않도록 부정사용방지시스템(FDS)을 도입하고 내·외부적 보완책을 마련해야지, 무조건 거래를 제한한 것은 빈대 잡으려고 초가삼간을 태운 격”이라고 말했다.

◆강력한 인증방법 도입해 편의·보안 모두 충족해야
이처럼 편의성이 강조되는 상황에서 높은 보안성까지 유지해야 하는 금융회사의 고민에 대해 전문가들은 새로운 인증방법 도입을 해결책으로 제시한다.

여신금융연구소 임윤화 연구원은 “인터넷과 모바일결제가 확대되며 비대면 거래에 대한 보안강화 필요성이 제기되고 있다”며 “동적보안코드인 ‘모션코드(Motion Code)’를 활용해 비대면 거래 시 부정사용을 대비할 수 있다”고 조언했다.

모션코드는 알고리즘에 따라 1시간마다 카드 뒷면의 CVC번호가 바뀌는 기술로, 일반 플라스틱카드와 동일하게 사용할 수 있으면서도 높은 보안성을 가지고 있어 도난정보를 이용한 카드 부정사용이 불가하다. 현재 미국, 멕시코, 폴란드, 프랑스 등에서 시범 출시됐으며 국내에는 아직 도입되지 않았다.

임 연구원은 “일부 간편결제가 지문, 홍채 등 생체인증을 통해 강력한 사전본인인증을 하는 가운데 카드도 비대면 거래에서 인증수단을 강화할 필요가 있다”면서 “모션코드와 같이 적용이 쉽고 보안성이 높은 인증방법을 도입해 카드 비대면 거래에서의 보안강화를 고려해야 한다”고 설명했다.