카드번호 무작위 추출하는 빈(BIN) 공격 받아
(서울=연합뉴스) 구정모 기자 = 태국에서 부당인출 사건이 발생했던 씨티카드가 지난해에도 해외에서 부정결제가 수백여건 발생한 것으로 뒤늦게 확인됐다.
15일 씨티은행에 따르면 지난해 6월 미국의 페이팔 가맹점에 빈(BIN·Business Identification Number) 공격이 발생해 해당 가맹점과 거래하던 국내 씨티은행의 에이플러스 체크카드에 피해가 발생했다.
빈 공격은 카드 일련번호의 처음 6자리가 특정 은행의 특정 상품을 나타내는 번호임을 노리고 카드번호를 알아내는 수법이다.
예컨대 씨티은행은 에이플러스 체크카드가 '42**-**'로 시작되는 것을 확인하고서 나머지 뒤의 10자리를 무작위로 번호를 생성시켜 전체 카드번호를 알아내는 식이다.
에이플러스 체크카드는 당시 이런 수법으로 1천건 미만, 3천여만원이 부정 결제됐다.
카드번호와 유효기간 입력으로 거래가 승인되는 비(非)인증거래는 소액 결제만 허용돼 부정거래 규모가 작았다고 씨티은행은 설명했다.
씨티은행은 부정거래로 확인된 카드의 거래를 정지하고 해당 카드 고객에게 전액 보상 처리를 해주고 있다고 밝혔다.
앞서 지난달 8∼9일 태국에서 씨티카드 고객 28명의 계좌에서 돈이 부당인출되는 사건이 발생했다.
당시 금융당국이 금융정보가 유출된 해킹 사건과 관련한 고객의 카드를 우선 거래 정지시키라는 지침을 내렸음에도 씨티은행은 이를 따르지 않다가 피해가 발생했다.
pseudojm@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>