초보적 해킹에 뚫린 '선불카드'..오류 횟수 제한도 없었다

[한겨레] 중국 해커, KB국민·우리카드 공격
숫자 반복 대입해 보안번호 알아내
3억5천만원어치 정보 한국인에 팔아

두 카드사, CVC 오류 차단장치 없고
작년말 이상 징후에도 신고 안해
30여건 피해 접수…뒤늦게 보안강화

국내 대형 카드사 두 곳에서 ‘기프트카드’(무기명 선불카드) 번호가 도용돼 금전피해가 발생한 사고가 일어났다. 해당 카드사들은 보안번호만 알아내면 온라인에서 누구나 쉽게 사용할 수 있는 이 선불카드의 정보 유출을 막기 위한 기본적인 대비도 하지 않은 것으로 드러났다.

기프트카드 사용 절차

19일 경찰과 해당 카드회사 관계자의 설명을 종합하면, 중국 해킹조직은 지난해 12월부터 올해 1월 중순까지 케이비(KB)국민카드와 우리카드 누리집에 접속해 고객에게 발급된 기프트카드의 카드번호·유효기간·보안번호(CVC) 등을 알아냈다. 기프트카드의 경우 카드사 누리집에서 회원가입 없이 잔액을 확인할 수 있고, 이 3가지 정보만 있으면 카드 실물이 없더라도 온라인에서 물건을 살 수 있다는 점을 악용했다.

경찰 관계자는 “중국 해킹조직은 16자리 카드번호 가운데 일부 숫자만 바꾸면 유효기간이 같은 새로운 카드번호가 생성된다는 점을 이용했다. 이런 방법으로 카드번호와 유효기간을 확인한 다음, 000에서 999까지의 숫자를 무한 반복 대입해 보안번호를 알아냈다”고 설명했다. 보통 신용카드의 경우엔 보안번호를 입력할 때 3~5회 이상 오류를 내면 추가 조회가 차단되지만, 두 회사의 기프트카드에는 이런 횟수 제한을 두지 않았다.

중국 해킹조직은 이렇게 알아낸 3억5000만원 상당의 기프트카드 정보를 한국에 있는 이아무개(22)씨 등에게 2억9000만원에 팔아넘겼다. 이씨 등은 이 기프트카드 정보로 온라인에서 상품권을 구입한 뒤 이를 되팔아 현금화했다.

이번 사건은 이들 카드사가 매우 초보적인 해킹 시도에도 구멍이 뚫릴 만큼 보안에 허술했음을 드러낸다. 우리카드 쪽은 “기프트카드는 무기명이라 손바뀜(카드의 소유자가 바뀌는 것)이 많고 잔액 확인도 잦다. 오류 횟수를 제한하면 고객이 불편을 겪을 수 있어 (보안)장치를 두지 않았다”고 해명했다. 그러나 두 카드사를 뺀 나머지 카드사들은 오류 횟수를 제한하고 있다는 점에서 설득력이 떨어진다.

이뿐만 아니라 케이비국민카드는 지난해 12월 이번 사건과 관련한 낌새를 파악하고도 한달 넘게 금융당국과 경찰에 신고조차 하지 않았다. 케이비국민카드 백문일 상무는 “12월10일께 첫 이상징후를 발견했으나 실질적인 피해가 발생하지 않았고 이번 사건은 해킹이 아니라 즉시 보고 사안도 아니어서 감독당국에 알리지 않았다”고 말했다. 이번 수사는 케이비국민카드 기프트카드를 구입한 피해자가 잔액이 0원인 사실을 발견하고 경찰에 신고한 뒤에야 시작됐다.

두 카드사는 뒤늦게 잔액조회 때 휴대전화 인증을 받고, 보안번호 4~5회 오류 시 조회를 제한하는 장치를 마련했다. 지금까지는 30여건, 1500만원의 피해사실이 접수됐으나, 유출된 카드의 총 금액이 2억9000만원에 달하는 만큼 피해액은 더 늘어날 수도 있다.

금감원 관계자는 “두 카드사가 보안번호 오류 제한 조처를 하지 않은 탓에 범죄에 노출되는 문제점을 드러냈다”며 “해당 카드사뿐 아니라 다른 금융기관에도 보안을 강화하도록 조처했다”고 말했다.

유선희 최우리 기자 duck@hani.co.kr

<한겨레 인기기사>
■[성한용의 막전막후] 박 대통령 국회연설, 1975년 박정희 국회연설 용어, 논리 빼닮아
■ [동영상 뉴스] 홍용표 장관이 엿새 사이 두 번 말을 바꾼 이유
■ [포토] 세계보도사진전...`철조망 넘는 아기' 등 올해의 사진
■ [화보] 여행하며 찍은 ‘세계 여성들의 얼굴’
■ 표창원 “새누리·북한, 유괴 인질범 닮았다”

공식 SNS [페이스북][트위터] | [인기화보][인기만화][핫이슈]

Copyrights ⓒ 한겨레신문사, 무단전재 및 재배포 금지

<한겨레는 한국온라인신문협회(www.kona.or.kr)의 디지털뉴스이용규칙에 따른 저작권을 행사합니다.>