PC
가전
가전
PC
고정공지
(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.
놀이터 일간 추천 베스트 |
놀이터 일간 조회 베스트 |
기타정보 국민카드 고객 2000여명 카드번호 유출 조기 적발…‘빈(BIN) 공격’ 받아
작성자: 친정간금자씨 조회 수: 986 PC모드
| URL 링크 : | https://mnews.joins.com/article/23514126...me|Group41 |
|---|
KB국민카드 고객 2000여명의 신용카드 번호가 이른바 ‘빈(BIN) 공격’을 받아 유출되는 일이 발생했다.
3일 업계에 따르면 지난달 24일 오후 8시∼25일 오전 8시 글로벌 전자상거래 사이트 아마존에서 빈 공격으로 추정되는 부정사용이 감지돼 KB국민카드가 해당 카드의 승인을 취소하고 거래를 정지했다.
이어 국민카드는 고객들에게 카드 재발급을 권유하고 관련 패턴을 이상금융거래 탐지시스템(FDS)에 반영했다.
‘빈 공격’은 카드 일련번호 16자리 중 처음 6자리가 특정 은행이나 카드사의 특정 상품을 나타내는 고유 번호인 ‘빈(BIN) 번호’임을 노리고 카드번호를 알아내는 수법이다.
빈 번호는 고정값이므로 이 6자리를 알면 나머지 10자리를 무작위로 번호를 생성시키는 프로그램을 활용해 알아낼 수 있다.
이번 빈 공격으로 유출된 카드번호는 2000여건이고, 부정사용 금액은 약 2000달러다.
부정사용 금액이 건당 1달러에 불과한 것은 빈 공격을 시도한 해커들이 아마존의 거래 행태를 범행에 활용했기 때문으로 보인다.
아마존은 결제 시 고객에게 카드번호와 유효기간만을 요구하기 때문에 해커들이 무작위로 생성한 카드번호로 ‘결제실험’을 하기가 용이하다.
아마존은 최초 결제 카드인 경우 결제 가능한 카드인지를 확인하기 위해 카드사에 우선 1달러 결제 승인을 요청한다. 이후 결제가 승인되면 이를 취소하고 본 결제를 진행한다. 카드사 입장에서는 아마존이 결제 가능 카드인지를 확인하려는 1달러 승인 요청인지 해커들의 빈 공격인지 구분하기가 쉽지 않다. 해커들은 이런 아마존의 방식을 이용한 것이다.
다행히 이번 경우는 조기에 적발돼 추가 피해가 발생하지 않았다.
카드업계는 아마존과 같은 해외 가맹점은 빈 공격에 근본적으로 취약할 수밖에 없다고 보고 있다.
과거 국내 가맹점에서도 이와 유사한 빈 공격 사례가 있어 비밀번호 앞 2자리, 카드 뒷면 서명란에 기재된 CVC 번호 등을 입력하도록 개선 조치가 취해진 바 있다.
자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다
문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
금융 관련 쪽은 터지면 폭탄이죠