국내 카드사 노리는 'BIN 공격'…취약한 해외 사이트가 '통로'

본문 글자 크기 설정
글자크기 설정 시 다른 기사의 본문도 동일하게 적용됩니다.

불법결제 시도 늘어 …사전 이용제한 등 이용자 주의 필요

[아이뉴스24 최은정 기자] 결제시 본인인증이 미흡한 일부 해외 사이트에서 국내 카드사를 대상으로 한 '빈(BIN, Bank Identification Number) 공격'이 계속되고 있는 것으로 나타났다. 최근 해외 쇼핑 등 직구가 늘고 있는 만큼 사용자 주의가 요구된다.

31일 업계에 따르면 지난 설 연휴 전후로 롯데·신한·하나·현대카드 등 국내 주요 카드사 대상 빈 공격이 있었던 것으로 나타났다. 빈 공격은 번호 대입 프로그램 등으로 전체 카드번호를 알아내는 수법을 말한다.

카드 일련번호 16자리 중 앞 6자리가 카드사 특정 상품·은행을 나타내는 '빈' 번호이므로, 나머지 10자리에 번호를 무작위로 조합해 넣다보면 실제 카드번호가 완성될 수 있는 것.

[이미지=아이뉴스24]

특히 해커는 카드결제시 카드번호, 유효기간 등만 입력하면 바로 결제로 이어지는 일부 해외 사이트를 통해 이 같은 공격을 지속하고 있다.

실제로 이번 설 연휴 기간 일부 소비자 커뮤니티에는 미국 등 해외결제 시도에 대해 카드사의 승인거절 문자를 받았다는 글이 여럿 올라왔다. 한 사용자는 미국 한 의류 사이트에서 약 1만5천910 달러(한화 약 1천894만 원) 가량의 결제 시도가 있었다며 문자를 캡처해 올리기도 했다.

다행히 국내 카드사 대부분이 보유한 실시간 부정거래방지시스템(FDS)으로 이상 결제시도를 곧바로 감지, 해외 사용제한 조치가 이뤄져 금전적 피해는 없는 것으로 알려졌다.

한 카드사 관계자는 "국내 사이트의 경우 카드결제시 통화, 문자메시지(SMS) 등으로 본인확인을 거치고, 유효성 확인코드(CVC) 값을 입력해야 하는 등 인증을 거치게 돼 있다"며 "일부 해외 사이트는 인증 시스템이 느슨한 경우가 많지만 이를 강제할 수 없다"고 말했다.

이어 "카드사에서는 FDS를 통해 빈 공격을 통한 불법결제를 차단하고 있다"며 "사용자가 보유 카드에 대해 전화, 웹사이트 등을 통해서 미리 해외이용 제한 조치를 해 놓은 것도 혹시 모를 피해를 예방할 수 있는 한 방법"이라고 덧붙였다.

보안업계 관계자는 "빈 공격은 번호를 무작위로 조작해 넣는 것이기 때문에 지금으로서는 이를 막을 방법은 없다"며 "다만 각 카드사에서 FDS 등 솔루션을 도입하고 있어 이를 통한 불법결제는 탐지·차단할 수 있다"고 설명했다.

/최은정 기자 ejc@inews24.com



주요뉴스


공유하기

주소가 복사되었습니다.
원하는 곳에 붙여넣기 해주세요.
alert

댓글 쓰기 제목 국내 카드사 노리는 'BIN 공격'…취약한 해외 사이트가 '통로'

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
댓글 바로가기


뉴스톡톡 인기 댓글을 확인해보세요.



TIMELINE



포토 F/O/C/U/S