신한카드에서 발급된 신용카드 번호가 유출돼 수만원에서 많게는 수백만원에 이르는 부정 사용 피해가 발생했다. 일부 카드 상품 번호체계 보안이 취약한 것으로 드러나 조치에 나섰고 보상도 진행하고 있다. 하지만 피해를 본 소비자들이 카드사를 처벌해달라는 청와대 국민청원까지 제기하면서 사태가 확산되고 있다.
17일 업계에 따르면 청와대 국민청원 게시판에 최근 '해킹피해자 나 몰라라 하는 신한카드 처벌해주세요'라는 제목의 청원이 게시됐다.
청원인은 이달 3~11일간 불특정 다수에서 금융 피해가 발생했고 이들 공통점이 신한카드 사용자라는 점과 기존 스미싱 방식과는 전혀 다르다고 설명했다. 피해 규모만 70여명(지난 13일 기준)에 달하고, 피해액도 많게는 1인당 수백만원에 이른다고 토로했다.
청원인은 카드사가 처음엔 개인정보 관리 소홀인 개인 과실이고 정상적인 결제 과정이기 때문에 구제방안이 없다고 앵무새처럼 부르짖었고 한참이 지나서야 '보상 방안을 검토해보겠다, 논의 중이다'라는 식의 원론적인 답변만 내놨다고 전했다.
실제 피해자 커뮤니티에는 신한카드에서 발급된 신용카드 번호로 나도 모르는 사이에 부정 결제 손해를 입었다는 사례가 다수 발생했다.
전문가들은 이번 신한카드에서 발생한 사태가 '레인보우 어택(또는 시리얼 어택)'으로 발생한 부정 결제 시도로 추정하고 있다. 우리가 흔히 국내에서 사용하는 신용카드 번호는 16자리로 구성돼 있다. 카드번호 16자리 중 처음 6자리는 신용카드 브랜드와 발급사를 구분하는 고유 번호인 'BIN(Bank Identification Number) 번호'로, 나머지는 카드사가 여러 변수를 조합한 번호와 검증값으로 구성된다. 통상적으로 카드사는 동일한 번호가 겹치지 않도록 1, 3, 5 등 불규칙하게 번호를 발행해 서버에 넣고 실제 카드 발급 때 사용한다.
다만 이번 문제가 된 카드의 경우 동일한 시간에 대량의 카드가 발급되다 보니 유효기간과 카드번호가 유사한 카드사 다수 발생했다는 점이다. 이에 마지막 네 자리 중 끝자리(검증값) 번호만 바꾸고 유효기간을 입력하면 정상적인 카드번호와 유효기간으로 조합돼 ARS 결제가 가능한 것으로 알려졌다. 카드번호가 유출될 경우 보안코드(CVV, CVC, CSC)를 요구하지 않은 해외 업체에서는 정상 결제가 가능하다.
결제 보안 전문가는 “신한카드에서 발생한 부정 결제는 소위 레인보우 어택으로 불리는 무작위 번호를 조합해 부정 결제를 시도하는 방식”이라면서 “동일한 사용자가 여러 번 결제를 시도할 경우 이를 카드사나 밴사, 가맹점에서 차단했어야 하는데 제대로 작동하지 않은 것으로 추정된다”고 말했다. 신한카드는 이번 사태를 자체 파악, 현재 보상 절차를 진행하고 있다.
신한카드 관계자는 “고도화한 해킹 수법으로 이상거래탐지시스템(FD)이 잡아내지 못하면서 일부 피해가 발생한 것으로 파악했고, 현재 조치를 완료한 상황”이라면서 “현재 부정 사용이 파악된 소비자에 대해선 보상 절차를 진행하고 있다”고 말했다.
박윤호기자 yuno@etnews.com
