신한카드 “현재까지 실제 피해사례 보고되지 않았다”

사측 “부정사용 우려 있다” 해당 카드 상품, 잘못된 번호 부여방식 무엇인지는 공개하지 않아

신한카드 일부 카드 상품의 번호체계가 정보 탈취와 부정사용 위험에 취약한 것으로 드러나 신한카드가 감시 강화에 나섰다.

15일 연합뉴스와 신한카드와 금융감독원에 따르면 신한카드의 일부 제휴카드에서 16자리 번호 중 14~15자리가 서로 같고 유효기간이 동일한 사례가 여러 건 확인됐다.

이는 같은 달에 발급된 카드에 번호가 순차적으로 부여됐거나 비슷한 번호가 집중적으로 부여됐다는 뜻이다.

문제가 된 카드의 번호 마지막 네 자리 중 끝자리의 번호만 바꾸고 유효기간을 동일하게 입력한 결과 정상적인 카드번호와 유효기간의 조합으로 인식돼 다음 결제단계로 넘어가는 것으로 확인됐다.

CVC번호 등을 추가로 요구하는 국내 온라인 쇼핑몰과 달리 해외 업체는 카드번호와 유효기간 조합만 맞으면 결제가 가능한 곳이 적지 않다.

일반적으로 카드번호 16자리 중 처음 6자리가 특정 은행·카드사의 상품을 나타내는 고유 번호인 '빈(BIN) 번호라는 사실을 악용, 나머지 번호와 유효기간을 무작위로 생성해 정상적인 번호와 유효기간 정보를 탈취하는 수법을 '빈 공격'으로 부른다. 빈 공격에 성공하려면 수많은 번호와 유효기간을 생성해 조합해야 하므로 프로그램이 필요하다.

그러나 이번에 신한카드에서 발견된 문제점은 카드의 번호 마지막 자리만 바꾸고 같은 유효기간을 입력해도 실제로 존재하는 조합이어서 결제가 정상적으로 진행된다는 것이다.

신한카드 관계자는 "특정 제휴카드의 번호 부여체계에 문제가 있는 것으로 현재까지 파악됐다"며 "나머지 카드의 번호 부여에는 문제가 없다"고 말했다.

현재까지 실제 피해사례는 보고되지 않았다고 신한카드는 밝혔다.

신한카드는 부정사용 우려가 있다며 해당 카드 상품과 잘못된 번호 부여방식이 무엇인지는 공개하지 않았다.

신한카드는 문제의 카드에 대해 부정사용방지시스템(FDS) 감시를 강화하고, 번호 체계 개편을 검토하겠다고 금융감독원에 보고했다. 카드 사용을 중지하지는 않았다.

금감원 관계자는 "카드사의 FDS 감시 강화로 도용을 예방할 수 있을 것"이라며 "만에 하나 도용이 일어난다고 해도 카드사가 보상하므로 고객의 피해는 없다"고 설명했다.

한편 신한카드 정보 수십건이 유출돼 최근 국내 이커머스에서 상품권 결제에 도용된 피해가 발생, 경찰이 수사에 착수했다.

신한카드는 "전산시스템의 문제나 오류가 아니라 카드 정보 유출에 따른 도용으로 판단하고 있다"고 말했다.

김현주 기자 hjk@segye.com