(사진=연합뉴스) <2편에 이어> 신한카드 사태로 인해 카드업계 내에선 공공연한 비밀이었던 카드번호 보안 취약성 이슈가 수면위로 급부상했습니다. 이는 신한만의 문제는 아닙니다. 카드업계 전반의 묵은 이슈입니다. 보통 온라인으로 카드를 결제할 때 카드번호 외에도 유효기간, CVC 번호, 비밀번호 등을 넣어야 합니다. 하지만 아마존 등 해외결제시 카드번호와 유효기간만으로도 결제 가능한 곳이 여럿입니다. 물론 카드번호가 총 16자리다보니 경우의 수가 많아 특정 카드 번호를 알아내기 어려울 것 같지만 사실 카드의 일련번호 규칙성을 감안하면 파악이 불가능한 것도 아닙니다. 우선 카드번호의 앞 6자리는 고유번호여서 어느정도 파악이 가능합니다. 나머지 10자리 중 맨 끝번호를 제외한 9자리가 무작위로 정해지다보니 사실상 알아내기가 불가능한데요. 여기서 빈 어택(BIN Attack)이 등장합니다. 빈 어택은 신용카드 번호와 카드 유효기간을 해킹해 무단으로 결제하거나 고객 정보를 빼내는 행위입니다. 통상 카드 일련번호 16자리 중 앞의 여섯자리가 빈인데 여기에는 각각 의미가 담긴 특정 번호가 배정됩니다. 비자카드냐 마스터카드냐 국내카드냐에 따라 번호가 정해집니다. 해커들은 이 빈에 착안해 첫 여섯 자리를 고정해두고 나머지 열 자리를 매크로 프로그램으로 돌려 무작위로 숫자를 조합한 뒤 결제를 시도해 실제 카드번호를 골라냅니다. 미국 전자상거래사이트 아마존에서 이런 피해가 특히 많이 발생하면서 알려지게 됐습니다. 국내에서도 한국씨티은행 체크카드 사태(2017년), kb국민카드 사태(2019년)가 바로 빈 어택에 노출돼 수천명의 신용카드 번호가 유출된 사례입니다. 그런데 이번 신한카드의 경우 카드발급이 몰려 업무에 부하가 걸려 비슷한 시기 가입자들의 카드 일련번호를 무작위가 아닌 발급 순서대로 정하면서 보안 취약성이 생긴 것 아니냐는 게 안팎의 의구심입니다. 이는 금감원 사전 조사에서도 대부분의 국내 카드사의 관행인 것으로 확인되고 있습니다. 사고가 이어지자 금융당국도 나섭니다. 최근 카드번호 발급 체계에 대한 보안 취약성을 인정, 지난주 신한카드를 포함한 모든 카드사 실무자들을 만나 프로세스 개선을 지시했다고 전해왔습니다. 이에 최근 카드사들은 무작위로 카드 번호를 부여하는 전산 시스템 개발에 착수했고, 소요 기간은 대략 2~3개월 수준으로 전해집니다. 다만 무작위로 일련번호를 정해도 완벽한 보안이 되는 건 아닙니다. 이는 금융당국이나 카드업계 모두 인지하고 있습니다. 금감원 관계자는 "카드번호 생성프로그램을 통해 시도되는 것이다보니 아무리 번호가 랜덤화돼도 시간과 확률이 떨어지는 것일 뿐 해킹 가능성이 사라지는 것은 아니다"고 답했습니다. 복수의 카드사 관계자들 역시 "빈 어택 이슈는 수년전부터 이어온 문제다. 다만 이번 시스템 개편으로 효율성은 다소 개선될 수 있어도 근본적인 해법은 아니다"고 말합니다. 다행인 건 카드번호가 유출돼도 실제 부정 사용으로 이어질 가능성은 높지 않다는 점입니다. 국내 온라인 결제시에는 유효성 검사코드인 CVC를 반드시 입력하게 돼 있습니다. 오프라인 가맹점 역시 단말기에 꽂아서 쓰는 IC칩 방식의 결제가 의무화돼 있어 기술적인 복제가 어렵습니다. 문제는 해외 결제인데요. 요즘 추세가 간편결제로 급격히 이동하다보니 해외결제시 본인 확인 절차가 생략되는 경우가 생깁니다. 결국 카드사와 사용자 본인의 주의가 필수인 이유입니다. 당장 완벽한 해결책은 없습니다. 설령 뾰족한 방안이 나온다한들 해커들의 기술 또한 업그레이드되다보니 지속적인 안정성을 담보하기 어렵겠지요. 결국 카드번호를 없애고 암호화 한다던가, 제로베이스에서 근본적인 대안을 만들지 않는 한 현재의 해킹, 유출 사고는 해결불가 이슈라는 결론에 이릅니다. 해커 등의 범죄집단과 금융회사간 창과 방패의 싸움, 꽤 오랜기간 계속될 수밖에 없는 이유입니다. <끝>

[홍승훈의 Y] S카드 부정결제 전말③ 창(해커)과 방패(금융사) 싸움

홍승훈 기자 승인 2022.04.21 17:02 | 최종 수정 2022.04.21 18:26 의견 0
(사진=연합뉴스)

<2편에 이어>

신한카드 사태로 인해 카드업계 내에선 공공연한 비밀이었던 카드번호 보안 취약성 이슈가 수면위로 급부상했습니다. 이는 신한만의 문제는 아닙니다. 카드업계 전반의 묵은 이슈입니다.

보통 온라인으로 카드를 결제할 때 카드번호 외에도 유효기간, CVC 번호, 비밀번호 등을 넣어야 합니다. 하지만 아마존 등 해외결제시 카드번호와 유효기간만으로도 결제 가능한 곳이 여럿입니다. 물론 카드번호가 총 16자리다보니 경우의 수가 많아 특정 카드 번호를 알아내기 어려울 것 같지만 사실 카드의 일련번호 규칙성을 감안하면 파악이 불가능한 것도 아닙니다.

우선 카드번호의 앞 6자리는 고유번호여서 어느정도 파악이 가능합니다. 나머지 10자리 중 맨 끝번호를 제외한 9자리가 무작위로 정해지다보니 사실상 알아내기가 불가능한데요. 여기서 빈 어택(BIN Attack)이 등장합니다. 빈 어택은 신용카드 번호와 카드 유효기간을 해킹해 무단으로 결제하거나 고객 정보를 빼내는 행위입니다. 통상 카드 일련번호 16자리 중 앞의 여섯자리가 빈인데 여기에는 각각 의미가 담긴 특정 번호가 배정됩니다. 비자카드냐 마스터카드냐 국내카드냐에 따라 번호가 정해집니다.

해커들은 이 빈에 착안해 첫 여섯 자리를 고정해두고 나머지 열 자리를 매크로 프로그램으로 돌려 무작위로 숫자를 조합한 뒤 결제를 시도해 실제 카드번호를 골라냅니다. 미국 전자상거래사이트 아마존에서 이런 피해가 특히 많이 발생하면서 알려지게 됐습니다. 국내에서도 한국씨티은행 체크카드 사태(2017년), kb국민카드 사태(2019년)가 바로 빈 어택에 노출돼 수천명의 신용카드 번호가 유출된 사례입니다.

그런데 이번 신한카드의 경우 카드발급이 몰려 업무에 부하가 걸려 비슷한 시기 가입자들의 카드 일련번호를 무작위가 아닌 발급 순서대로 정하면서 보안 취약성이 생긴 것 아니냐는 게 안팎의 의구심입니다. 이는 금감원 사전 조사에서도 대부분의 국내 카드사의 관행인 것으로 확인되고 있습니다.

사고가 이어지자 금융당국도 나섭니다. 최근 카드번호 발급 체계에 대한 보안 취약성을 인정, 지난주 신한카드를 포함한 모든 카드사 실무자들을 만나 프로세스 개선을 지시했다고 전해왔습니다. 이에 최근 카드사들은 무작위로 카드 번호를 부여하는 전산 시스템 개발에 착수했고, 소요 기간은 대략 2~3개월 수준으로 전해집니다.

다만 무작위로 일련번호를 정해도 완벽한 보안이 되는 건 아닙니다. 이는 금융당국이나 카드업계 모두 인지하고 있습니다. 금감원 관계자는 "카드번호 생성프로그램을 통해 시도되는 것이다보니 아무리 번호가 랜덤화돼도 시간과 확률이 떨어지는 것일 뿐 해킹 가능성이 사라지는 것은 아니다"고 답했습니다. 복수의 카드사 관계자들 역시 "빈 어택 이슈는 수년전부터 이어온 문제다. 다만 이번 시스템 개편으로 효율성은 다소 개선될 수 있어도 근본적인 해법은 아니다"고 말합니다.

다행인 건 카드번호가 유출돼도 실제 부정 사용으로 이어질 가능성은 높지 않다는 점입니다. 국내 온라인 결제시에는 유효성 검사코드인 CVC를 반드시 입력하게 돼 있습니다. 오프라인 가맹점 역시 단말기에 꽂아서 쓰는 IC칩 방식의 결제가 의무화돼 있어 기술적인 복제가 어렵습니다. 문제는 해외 결제인데요. 요즘 추세가 간편결제로 급격히 이동하다보니 해외결제시 본인 확인 절차가 생략되는 경우가 생깁니다. 결국 카드사와 사용자 본인의 주의가 필수인 이유입니다.

당장 완벽한 해결책은 없습니다. 설령 뾰족한 방안이 나온다한들 해커들의 기술 또한 업그레이드되다보니 지속적인 안정성을 담보하기 어렵겠지요. 결국 카드번호를 없애고 암호화 한다던가, 제로베이스에서 근본적인 대안을 만들지 않는 한 현재의 해킹, 유출 사고는 해결불가 이슈라는 결론에 이릅니다. 해커 등의 범죄집단과 금융회사간 창과 방패의 싸움, 꽤 오랜기간 계속될 수밖에 없는 이유입니다. <끝>

저작권자 ⓒ뷰어스 무단전재 및 재배포 금지