금융권, ‘빈어택 부정 공격’ 뾰족한 대응책 없어 ‘속수무책’...“보안대책 시급”

금융권, ‘빈어택 부정 공격’ 뾰족한 대응책 없어 ‘속수무책’...“보안대책 시급”: 문혜원 / 기사승인 : 2019-07-10 14:27:29

카드사, 발만 동동...“재발대책 고심 중”
“전통적인 카드번호 체계 바꿔야..‘모션코드’활용 대안 제시”

[토요경제 = 문혜원 기자] 최근 A카드사에서 빈어택으로 인한 카드번호가 노출되는 사고가 터지면서 과거 은행·카드사에 일어났던 카드 부정결제사고가 다시 도마에 올랐다. 이 때문에 금융권에선 빈어택 공격을 막을 수 있는 대응책 마련에 고심이 깊어지고 있다.

이번 A카드사의 사고는 카드사 과실은 아니지만 현재로서는 위험감지로만 인지하고 재발 사고를 막을 대책이 없어 업계가 ‘속수무책’으로 일관하고 있다.

9일 금융업계에 따르면 카드번호가 노출된 이번 A카드사 ‘빈어택’공격은 다시 한 번 업계 모두 위험대비 경각심을 부추기고 있다는 전언이다.

지난달 A카드사는 해외 해커들로 인한 ‘빈어택’에 의해 고객 2000여명의 카드 일련번호가 노출되는 공격을 당했다. 당시 온라인 소비자 커뮤니티에는 “로블 시그니쳐 카드 일련번호가 새 나갔다” “새벽에 외국에서 1달러씩 결제됐다”는 글들이 게재되기도 했다.

유사한 사례로 과거 2016년에는 씨티은행이 1월부터 2017년 4월까지 ‘페이팔’에서 부정 결제가 이뤄진 바 있다. 또한 비트코인을 이용한 돈세탁에 BIN 어택이 사용된 사례도 최근에 일어난 바 있다.

‘빈어택(BIN)’은 은행이나 카드사의 고유번호를 뜻하는 카드 일련번호 16자리 중 앞 6자리를 나타낸다. 해커들은 이 고정된 번호를 무자비로 유추한 것으로 아마존에서 카드 CVC숫자 없이 결제되는 부분을 악용했다.

해커들은 고정값으로 이루어진 빈 6자리를 유추해 나머지 10자리 숫자를 무작위로 조합하는 방식으로 진짜 카드번호를 알아낸 것이다. 이를테면 자전거 자물쇠 비밀번호를 만번 동안 누르는 방식으로 알아낸다는 것과 비슷한 방법으로 해석할 수 있다.

실제로 아마존의 결제 시스템은 결제시 카드번호와 카드 유효기간만을 요구한다. 아마존은 카드번호의 반복적인 입력 오류가 발생해도 로그인 제재와 같은 보안 시스템이 마련돼 있지 않다.

결국 해커들은 이런 보안상 허점을 노려 매크로 프로그램 등으로 고객들의 카드번호를 알아내는 것이 가능한 셈이다. 사건 이슈가 확산되자 금융감독원에선 사고 직후 문제점을 공유해 추가 사고 없을 것이라는 입장을 내놓을 뿐 후속조치에 대한 내용은 없었다.

또 A카드사도 해당 카드 사용 정지하고 재발급 시행, 승인 취소, 거래정지, 정도로만 대응했다는 입장이다. 다른 카드사에서도 빈어택 공격을 막을 뾰족한 대응책은 없다는 입장이다.

A카드사 관계자는 “현재로선 대응책 마련에 대해 카드사 모두 고민 중에 있다”며 “이상 징후 포착을 위한 탐사대 설치 가능이라든지 서비스측면에서 해외직구를 사용하지 않는 고객의 경우 해외에서 쓸 수 있는 결제시스템을 이용할 수 있게 한다던지 AI를 통한 공격대응방지 시스템 등 여러 가지 모색 중에 있다”고 말했다.

금융보안원에서도 이번 KB국민카드 빈어택 공격에 대한 이렇다 할 조치마련에 대한 멘트는 하기 어렵다는 입장을 내놓았다.

금융보안원 관계자는 “우리나라에서는 온라인 카드결제를 이용할 경우 CVC번호까지 입력해야 하는 데 반해, 아마존에서는 카드번호와 유효기간만 입력하면 되 악용된 케이스”이라며 “사실 무자비로 공격한 케이스를 분석해 보더라도 업계에서 미리 알 수 있는 방법이 딱히 없다”고 설명했다.

이에 일각에선 보안보다는 디지털 금융결제 편의성으로만 가고 있는 현 금융권 추세로 인한 문제라고 우려했다.

또 해외 IP거래시장이 발달하는데 우리나라는 아직 그에 미치지 못한데다 비대면거래가 금융권에 너무 빨리 확산되면서 해커 공격을 막을 보안장치는 미처 촘촘히 세우지 못했다는 것이 문제라는 지적이다.

이재연 한국금융연구원 카드연구위원은 “고객 편의성을 위한 비대면거래 시스템이 외려 해외 사이버 공격에 노출되고 있는 격”이라며 “결제시스템 간편화만큼 보안연구도 따라줘야 한다. 특히 카드업계는 전통적인 숫자체계를 바꿔 페이 전환으로 가는 등 나름의 대책을 세워야 할 것”이라고 제언했다.

또 다른 연구원 관계자는 동적보안코드인 ‘모션코드(Motion Code)’를 활용해 비대면 거래 시 부정사용을 대비할 수 있다는 의견도 제시했다. 모션코드는 알고리즘에 따라 1시간마다 카드 뒷면의 CVC번호가 바뀌는 기술을 말한다.

김인석 고려대학교 금융보안연구 교수는 “모션코드는 일반 플라스틱카드와 동일하게 사용할 수 있으면서도 높은 보안성을 가지고 있어 도난정보를 이용한 카드 부정사용이 불가하다”고 말했다.