카드사 또 해킹 당해…이번엔 선불카드로 직접적 금전 손실

[아시아경제 온라인이슈팀] 국내 카드회사 인터넷 홈페이지가 중국 해커 소행으로 보이는 공격으로 50만원권 기프트카드(무기명 선불카드) 수백장의 정보가 유출됐다.

경찰과 금융 당국은 이로 인한 피해액이 3억원이 넘을 것으로 추정하고 있다.

2014년 대규모 개인정보 유출 등 카드회사의 허술한 보안이 문제된 것은 여러 차례 였지만 기존 정보 유출 사고는 전화나 문자메시지 사기 등 2차 피해가 우려되는 것이었다. 이번 사고는 직접적 금전 손실을 일으켰다는 점에서 과거와는 비교가 안 된다.

동아일보에 따르면 18일 금융감독원과 경찰은 중국 해킹 조직이 지난해 12월부터 올해 1월 중순까지 한달가량 대형 카드회사인 A사와 B사의 홈페이지를 집중 공격했다고 밝혔다.

이 조직은 실제로 키프트카드를 산 뒤 카드회사 홈페이지의 기프트카드 등록 및 잔액 조회 화면에 들어가 카드번호 생성기를 이용해 유효기간이 같은 카드번호 16자리를 확인 후, 무자구이 숫자 입력 프로그램으로 CVC 번호도 알아낸 것으로 추정된다.

은행 창구에서 살 수 있는 기프트카드는 카드회사 홈페이지에서 누구나 잔액을 확인할 수 있고, 카드번호와 유효기간, CVC 번호만 안다면 실물이 없어도 온라인상에서 결제할 수 있다는 점을 악용한 범죄다.

보안업계 관계자는 "임의의 숫자를 무한 반복적으로 대입해 정확한 값을 추출하는 '빈어택(Binattack)' 방식의 가장 단순하고 원초적인 공격에 당했다"며 "금융사들이 보안은 도외시한 채 고객의 편의만 고려해 비밀번호 입력 횟수 제한을 하지 않은 탓"이라고 지적했다.

중국 해커는 해킹한 수백 장의 기프트카드 정보를 카카오톡을 통해 국내 카드 범죄 조직에 넘겼다. 이 조직의 주범 이모(23)씨는 기프트카드 액면가의 82% 정도인 2억9000만원을 중국으로 송금했다. 이들은 기프트카드 정보를 이용해 온라인에서 모바이 상품권을 구입하고 이를 되팔아 모두 현금화했다.

피해를 본 카드회사는 금융감독원에 총 30여건, 1500만원의 피해를 확인해 신고했지만 이씨가 중국에 건넨 돈을 고려하면 극히 일부만 확인된 것으로 보인다. 중국 해커가 이씨가 아닌 다른 국내 조직에도 기프트카드 정보를 판매했을 가능성도 있어 피해액이 더 커질 가능성도 보인다. 카드사는 피해 여부를 확인 후 보상하기로 했지만 소비자의 혼란과 불편이 예상된다.

경찰은 중국 해킹 조직 주범 이씨를 컴퓨터 등 사용 사기 혐의로 구속하고 나머지 일당 8명을 불구속 기소 의견으로 검찰에 송치했다. 경찰 관계자는 "이씨의 돈을 받은 복수의 계좌를 확인해 보니 대부분 중국인으로 드러났다"며 "해킹 조직의 실체를 추적하고 있다"고 말했다.