신한카드 국제브랜드 카드번호 보안취약…해외부정사용 우려(종합)
입력
수정
"현재까지 피해 보고는 없어"…국제브랜드 번호체계 개선 지시
금감원, 전체 카드사 회의 소집해 번호체계 자체점검 지도 신한카드 해외겸용 카드의 번호체계가 정보 탈취와 부정사용 위험에 취약한 것으로 드러났다. 금융당국은 신한카드에 카드번호 발급 체계를 개선하도록 하고, 다른 카드사에도 자체 점검하라고 지시했다.
금융감독원은 신한카드 국제 브랜드(비자, 마스터) 제휴 해외 겸용카드의 번호가 규칙성이 드러나게 발급돼 해외 부정사용에 노출될 위험이 있다는 취약성을 민원인 제보를 통해 확인했다고 15일 밝혔다.
금감원에 따르면 특정 신한카드의 16자리 번호 중 뒷자리 일부만을 바꿔 유효기간을 동일하게 조합하면 유효한 카드 정보로 인식돼 실제 사용할 수 있다는 민원이 접수됐다. 금감원 확인 결과 실제로 카드 번호가 단순한 규칙에 따라 발급된 것으로 드러났다.
CVC번호 등을 추가로 요구하는 국내 온라인 쇼핑몰과 달리 해외 업체는 카드번호와 유효기간 조합만 맞으면 결제가 가능한 곳이 적지 않다.
따라서 해외 부정사용에 노출될 위험이 있다고 금감원은 설명했다. 일반적으로 카드번호 16자리 중 처음 6자리가 특정 은행·카드사의 상품을 나타내는 고유 번호인 '빈(BIN) 번호라는 사실을 악용, 나머지 번호와 유효기간을 무작위로 생성해 정상적인 번호와 유효기간 정보를 탈취하는 수법을 '빈 공격'으로 부른다.
빈 공격에 성공하려면 수많은 번호와 유효기간을 생성해 조합해야 돼 프로그램이 필요하다.
그러나 이번에 신한카드에서 발견된 문제점은 카드의 번호 마지막 일부만 바꾸고 같은 유효기간을 입력해도 실제로 존재하는 조합이어서 결제가 정상적으로 진행된다는 것이다. 신한카드 관계자는 "일부 제휴카드의 번호 부여체계에 문제가 있는 것으로 현재까지 파악됐다"며 "나머지 카드의 번호 부여에는 문제가 없다"고 말했다.
금감원 관계자는 그러나 "번호체계는 각사의 영업비밀에 해당해 카드사가 공개를 꺼리는 부분"이라며 "단순한 규칙성에 따라 번호가 부여된 카드가 얼마나 되는지 금감원으로서는 알 수 없다"고 말했다.
신한카드는 현재까지 실제 피해사례는 보고되지 않았다고 밝혔다.
금감원은 이러한 취약점이 정보탈취나 도용의 표적이 될 수 있기 때문에 신한카드에 발급체계를 개선하도록 지시하고 전 업계에도 자체 점검을 당부했다고 설명했다.
아울러 금감원은 해외 결제에 대해 이상거래탐지시스템(FDS) 감시를 강화하고, 부정사용 사례가 발생하면 적극적으로 보상하라고 지도했다.
금감원은 또, 해외 업체 이용이 거의 없는 소비자는 '해외결제 차단서비스'를 이용하면 부정사용 위험을 차단할 수 있다고 소비자들에게 안내했다.
금감원 관계자는 "카드사의 FDS 감시 강화로 도용을 예방할 수 있을 것"이라며 "만에 하나 도용이 일어난다고 해도 카드사가 보상하므로 고객의 피해는 없다"고 설명했다. 한편 신한카드 정보 수십건이 유출돼 최근 국내 이커머스에서 상품권 결제에 도용된 피해가 발생, 경찰이 수사에 착수했다.
신한카드는 "전산시스템의 문제나 오류가 아니라 카드 정보 유출에 따른 도용으로 판단하고 있다"고 말했다.
금감원은 사고 발생 경위와 문제점, 소비자 피해구제 적정성에 대해 별도 수시검사를 나서기로 했다. 수시 검사에서 취약점을 확인하면 전 카드사에 대해 조사를 벌여 개선하겠다고 밝혔다.
/연합뉴스
금감원, 전체 카드사 회의 소집해 번호체계 자체점검 지도 신한카드 해외겸용 카드의 번호체계가 정보 탈취와 부정사용 위험에 취약한 것으로 드러났다. 금융당국은 신한카드에 카드번호 발급 체계를 개선하도록 하고, 다른 카드사에도 자체 점검하라고 지시했다.
금융감독원은 신한카드 국제 브랜드(비자, 마스터) 제휴 해외 겸용카드의 번호가 규칙성이 드러나게 발급돼 해외 부정사용에 노출될 위험이 있다는 취약성을 민원인 제보를 통해 확인했다고 15일 밝혔다.
금감원에 따르면 특정 신한카드의 16자리 번호 중 뒷자리 일부만을 바꿔 유효기간을 동일하게 조합하면 유효한 카드 정보로 인식돼 실제 사용할 수 있다는 민원이 접수됐다. 금감원 확인 결과 실제로 카드 번호가 단순한 규칙에 따라 발급된 것으로 드러났다.
CVC번호 등을 추가로 요구하는 국내 온라인 쇼핑몰과 달리 해외 업체는 카드번호와 유효기간 조합만 맞으면 결제가 가능한 곳이 적지 않다.
따라서 해외 부정사용에 노출될 위험이 있다고 금감원은 설명했다. 일반적으로 카드번호 16자리 중 처음 6자리가 특정 은행·카드사의 상품을 나타내는 고유 번호인 '빈(BIN) 번호라는 사실을 악용, 나머지 번호와 유효기간을 무작위로 생성해 정상적인 번호와 유효기간 정보를 탈취하는 수법을 '빈 공격'으로 부른다.
빈 공격에 성공하려면 수많은 번호와 유효기간을 생성해 조합해야 돼 프로그램이 필요하다.
그러나 이번에 신한카드에서 발견된 문제점은 카드의 번호 마지막 일부만 바꾸고 같은 유효기간을 입력해도 실제로 존재하는 조합이어서 결제가 정상적으로 진행된다는 것이다. 신한카드 관계자는 "일부 제휴카드의 번호 부여체계에 문제가 있는 것으로 현재까지 파악됐다"며 "나머지 카드의 번호 부여에는 문제가 없다"고 말했다.
금감원 관계자는 그러나 "번호체계는 각사의 영업비밀에 해당해 카드사가 공개를 꺼리는 부분"이라며 "단순한 규칙성에 따라 번호가 부여된 카드가 얼마나 되는지 금감원으로서는 알 수 없다"고 말했다.
신한카드는 현재까지 실제 피해사례는 보고되지 않았다고 밝혔다.
금감원은 이러한 취약점이 정보탈취나 도용의 표적이 될 수 있기 때문에 신한카드에 발급체계를 개선하도록 지시하고 전 업계에도 자체 점검을 당부했다고 설명했다.
아울러 금감원은 해외 결제에 대해 이상거래탐지시스템(FDS) 감시를 강화하고, 부정사용 사례가 발생하면 적극적으로 보상하라고 지도했다.
금감원은 또, 해외 업체 이용이 거의 없는 소비자는 '해외결제 차단서비스'를 이용하면 부정사용 위험을 차단할 수 있다고 소비자들에게 안내했다.
금감원 관계자는 "카드사의 FDS 감시 강화로 도용을 예방할 수 있을 것"이라며 "만에 하나 도용이 일어난다고 해도 카드사가 보상하므로 고객의 피해는 없다"고 설명했다. 한편 신한카드 정보 수십건이 유출돼 최근 국내 이커머스에서 상품권 결제에 도용된 피해가 발생, 경찰이 수사에 착수했다.
신한카드는 "전산시스템의 문제나 오류가 아니라 카드 정보 유출에 따른 도용으로 판단하고 있다"고 말했다.
금감원은 사고 발생 경위와 문제점, 소비자 피해구제 적정성에 대해 별도 수시검사를 나서기로 했다. 수시 검사에서 취약점을 확인하면 전 카드사에 대해 조사를 벌여 개선하겠다고 밝혔다.
/연합뉴스