[뉴스로드] '빈(BIN) 공격'으로 인한 카드번호 유출사고가 재발했다. KB국민카드의 '로블 시그니쳐 비자 카드'의 실제 카드번호 약 2천개가 지난달 25일 해커들의 공격으로 인해 노출됐다. 

빈(BIN)은 카드번호 앞 6자리로 카드사나 특정 상품에 사용되는 고유번호를 의미한다. 해커들은 특정 상품의 앞자리 6개가 동일하다는 사실을 이용해, 나머지 10자리를 무작위 조합하는 방식으로 실제 일련번호를 알아냈다.

과거에도 국내 금융회사들이 '빈 공격'을 받아 문제가 된 경우가 여러 차례 있었다. 특히 한국씨티은행은 지난 2017년 빈 공격으로 유출된 카드번호를 이용한 부정거래가 여러 차례 발생해, 금융감독원의 제재를 받기도 했다.

한편, KB국민카드가 해킹 사실을 조기 발견해 대처하면서 이번 사태의 피해규모는 약 2천 달러에 그친 것으로 알려졌다. 해커들은 진짜 카드번호를 판별하기 위해 '아마존'에서 1달러 결제를 시도하는 방식을 사용했는데, 이 때문에 1인당 1달러 수준의 피해가 발생한 것.

아마존은 이용자가 최초 카드결제를 시도할 때, 결제가 가능한 카드인지 확인하기 위해 카드사에 1달러 결제를 요청한다. 이 때문에 카드사로서는 아마존의 확인 요청과 해커의 결제 시도를 구분하기 어렵다. 게다가 아마존이 다른 전자상거래업체와 달리 결제 시 CVC번호를 요구하지 않아 해커들이 이를 이용한 것으로 보인다.