2024.05.21 (화)
[CIOCISO매거진 장명국 기자] 신한카드 일부 카드 상품의 번호체계가 정보 탈취와 부정사용 위험에 취약한 것으로 드러났다.
15일 금융감독원은 신한카드의 일부 제휴카드에서 16자리 번호 중 14~15자리가 서로 같고 유효기간이 동일한 사례가 여러 건 확인됐다고 밝혔다.
이는 같은 달에 발급된 카드에 번호가 순차적으로 부여됐거나 비슷한 번호가 집중적으로 부여된 것이다.
문제가 된 카드의 번호 마지막 네 자리 중 끝자리의 번호만 바꾸고 유효기간을 동일하게 입력한 결과 정상적인 카드번호와 유효기간의 조합으로 인식돼 다음 결제단계로 넘어가는 것으로 확인됐다.
CVC번호 등을 추가로 요구하는 국내 온라인 쇼핑몰과 달리 해외 업체는 카드번호와 유효기간 조합만 맞으면 결제가 가능한 곳이 있다.
일반적으로 카드번호 16자리 중 처음 6자리가 특정 은행·카드사의 상품을 나타내는 고유 번호인 '빈(BIN) 번호라는 사실을 악용, 나머지 번호와 유효기간을 무작위로 생성해 정상적인 번호와 유효기간 정보를 탈취하는 수법을 '빈 공격'으로 부른다. 빈 공격에 성공하려면 수많은 번호와 유효기간을 생성해 조합해야 하므로 프로그램이 필요하다.
그러나 이번에 신한카드에서 발견된 문제점은 카드의 번호 마지막 자리만 바꾸고 같은 유효기간을 입력해도 실제로 존재하는 조합이어서 결제가 정상적으로 진행됐다.
신한카드는 문제의 카드에 대해 부정사용방지시스템(FDS) 감시를 강화하고, 번호 체계 개편을 검토하겠다고 밝혔다.
한편 신한카드 정보 수십건이 유출돼 최근 국내 이커머스에서 상품권 결제에 도용된 피해가 발생해, 경찰이 수사에 착수했다.