<대한금융신문=하영인 기자> 해커들의 ‘빈(BIN) 공격’으로 KB국민카드 고객 2000여명의 신용카드번호가 노출된 것으로 드러났다.

빈 공격은 카드 일련번호 16자리 중 처음 6자리가 특정 은행이나 카드사의 특정 상품을 나타내는 고유 번호인 빈 번호임을 노리고 카드번호를 알아내는 수법이다. 나머지 10자리는 무작위로 번호를 생성하는 프로그램을 통해 알아낼 수 있다.

3일 업계에 따르면 KB국민카드는 지난달 24일 오후 8시부터 이튿날 오전 8시까지 아마존 사이트에서 빈 공격으로 추정되는 부정사용이 감지돼 해당 카드 승인을 취소하고 거래를 정지시켜 추가 고객 피해는 발생하지 않았다.

KB국민카드는 고객들에게 카드 재발급을 권유하고 관련 패턴을 이상금융거래 탐지시스템(FDS)에 반영했다는 설명이다.

이번 빈 공격으로 유출된 카드번호는 2000여건, 부정사용 금액은 2000여달러로 추정된다.

부정사용 금액이 건당 1달러에 그친 것은 해커들이 아마존의 거래 행태를 범행에 활용했기 때문으로 보인다. 아마존은 결제 시 고객에게 카드번호와 유효기간만을 요구해 해커들이 무작위로 생성한 카드번호로 결제 시도를 하기가 용이하다.

아마존은 최초 결제 카드인 경우 결제 가능한 카드인지를 확인하기 위해 카드사에 우선 1달러 결제 승인을 요청해 승인되면 이를 취소하고 본 결제를 진행한다.

한편 과거 국내 가맹점도 빈 공격 사례가 있어 비밀번호 앞 2자리, 카드 뒷면 서명란에 기재된 카드 유효성 검사 코드(CVC) 등을 입력하도록 개선된 바 있다.

카드사 관계자는 “빈 공격은 사전 차단이 불가능해 빈번하게 발생하고 있다”며 “카드사의 이상금융거래탐지시스템(FDS)에서 걸러져 해외 승인이 차단되면 해당 고객에게 직접 확인을 통해 최대한 피해가 없도록 대응하고 있다”고 말했다.