신용카드 번호 규칙적 부여
보안 취약점 드러나
채번 방식 무작위로 변경
일반적인 전자상거래 결제에서 보안을 요구하는 사항들은 여러 가지다.
그중 카드번호는 민감 금융정보로서, 카드별로 각각 다르게 부여돼 있다.
일반적으로 카드의 앞 6자리는 고유번호, 나머지 뒷자리는 고객 고유번호 등으로 매겨진다.
예를 들어 한 카드사가 발급하는 여러 개의 카드는 모두 앞 6자리를 동일하게 사용하고, 나머지 뒷자리로 카드 종류와 고객을 구분한다는 뜻이다.
SBS는 이 사실을 기반으로 신한카드의 카드 번호가 도용당할 가능성이 있다고 보도했다.
신한카드가 발행하는 순서대로 ‘규칙성을 갖는 번호’를 매기고 있다는 것이다.
이 사실이 중요한 이유는 비슷한 시기에 발행된 카드는 유효기간이 같아지고, 카드번호 맨 뒤 한자리만 살짝 바꿔 도용할 수 있다는 뜻이 된다.
물론 대부분의 경우 비밀번호를 요구하기 때문에 큰 문제가 없지만, 일반적인 비밀번호는 4자리에 불과하다.
해커들에게 4자리 숫자 비밀번호는 1만 번만 시도하면 되는 간단한 문제로 바뀌기 때문에 도용 가능성이 매우 높아진다.
그동안 해커들이 접근하기 어려웠던 이유는 카드번호가 16자리에 달하며, 카드별로 유효기간을 파악하기 어렵다는 점이었다. 그러나 이 보안이 단순한 정책 때문에 위험에 처하게 된 상황이었다.
실제로 SBS 기자가 자신의 신한카드 뒷자리 하나만을 바꿔 전화 결제를 시도했다.
카드번호는 기자 소유의 신한카드 번호 +1, 유효기간은 동일하게 입력했더니 “금액을 입력”하라는 안내 문구가 흘러나왔다.
아마존 등의 해외 사이트에서는 카드번호와 유효기간, 비밀번호만을 가지고 결제를 진행할 수 있다.
대부분의 국내 쇼핑몰은 CVC번호나 추가 비밀번호를 요구하지만, 해외 사이트는 카드번호와 유효기간만으로도 결제가 가능하다.
이른바 해외 쇼핑몰은 카드번호와 유효기간만으로 간편 결제를 악용할 가능성이 제기된 것이다.
따라서 해외 결제보다는 국내 결제가 안전하지만, 보안이 뚫렸다는 점에서 큰 문제로 지적됐다.
신한카드 측에서는 “범죄에 악용될 수 있어 카드번호 부여 방식은 확인해줄 수 없다”며 “문제가 제기된 만큼 번호 부여 체계를 점검해 보겠다”고 밝혔다.
알고 보니 문제는 신한카드뿐만이 아니었다. 해외 부정 결제 취약성이 드러난 카드사는 더 많았음이 확인됐지만, 범죄에 악용될 가능성을 고려해 카드사명은 공개되지 않았다.
다만, 이를 따르지 않는 무작위 채번을 했던 카드사 중 하나가 ‘씨티카드’라는 사실만 공개됐다.
일부 신용카드 번호가 규칙성을 갖는 것과 관련해 금융감독원은 해외 부정 사용 예방을 위한 가이드라인을 마련하고, 무작위 번호 부여 시스템을 구축하라고 요구했다.
이에 카드사 관계자는 언론 인터뷰에서 “기존에도 채번 방식은 난수였지만, 우연히 카드번호가 규칙성을 갖는 경우가 발생했던 것으로 알고 있다”며 “결제를 기피할만큼 염려스러울 문제는 아니”라고 못 박았다.
