뉴스 트렌드 생활정보 International edition 매체

[단독]카드社 해킹당해 선불카드 털렸다

입력 | 2016-02-19 03:00:00

中해커, 대형업체 2곳 홈피 공격… 카드번호-유효기간-CVC번호 빼내
3억원 상당 수백장 팔아 현금화… 직접적인 금전손실 피해 첫 사례




국내 카드회사의 인터넷 홈페이지가 중국 해커의 소행으로 보이는 공격을 당해 수백 장의 50만 원권 기프트카드(무기명 선불카드) 정보가 유출된 것으로 확인됐다. 경찰과 금융 당국은 이로 인해 발생한 피해액이 3억 원이 넘을 것으로 추정하고 있다.

2014년 대규모 개인정보 유출 등 카드회사의 허술한 보안이 문제가 된 것은 여러 차례였다. 하지만 기존 정보 유출 사고는 전화나 문자메시지 사기 등 2차 피해가 우려되는 것이었던 반면, 이번에는 직접적인 금전 손실을 입었다는 점에서 과거와는 차원이 다른 것이다.

18일 금융감독원과 경찰에 따르면 중국 해킹 조직은 지난해 12월부터 올해 1월 중순까지 한 달가량 대형 카드회사인 A 사와 B 사의 홈페이지를 집중 공격했다. 이 조직은 실제로 기프트카드를 산 뒤 카드회사 홈페이지의 기프트카드 등록 및 잔액 조회 화면에 들어가 카드번호 생성기를 이용해 유효기간이 같은 카드번호 16자리를 확인하고, 무작위 숫자 입력 프로그램으로 CVC 번호도 알아낸 것으로 추정된다. CVC 번호는 카드 뒷면에 적힌 세 자릿수의 유효성 확인 코드로, 신용카드의 비밀번호와 비슷한 역할을 한다.

은행 창구에서 살 수 있는 기프트카드는 누구나 카드회사 홈페이지에서 잔액을 확인할 수 있고, 카드번호와 유효기간, CVC 번호만 있으면 실물이 없더라도 온라인상에서 물건을 살 수 있다는 점을 악용한 범죄였다.

보안업계 관계자는 “임의의 숫자를 무한 반복적으로 대입해 정확한 값을 추출하는 ‘빈어택(Binattack)’ 방식의 가장 단순하고 원초적인 공격에 당했다”며 “금융사들이 보안은 도외시한 채 고객의 편의만 고려해 비밀번호 입력 횟수 제한을 하지 않은 탓”이라고 지적했다.

중국 해커는 이렇게 얻은 수백 장의 기프트카드 정보를 카카오톡을 통해 국내 카드 범죄 조직에 넘겼다. 이 조직의 주범 이모 씨(23)는 기프트카드 액면가의 82% 정도인 2억9000만 원을 중국으로 송금했다. 이 씨 등은 기프트카드 정보를 이용해 온라인에서 모바일 상품권을 구입하고 이를 되팔아 모두 현금화했다. 피해를 본 카드회사는 금융감독원에 총 30여 건, 1500만 원의 피해를 확인해 신고했지만 이 씨가 중국에 건넨 돈을 고려하면 극히 일부만 확인된 것으로 보인다. 중국 해커가 이 씨가 아닌 다른 국내 조직에도 기프트카드 정보를 판매했을 가능성도 있어 피해액이 더 커질 수도 있다. 카드사가 피해 여부를 확인해 보상하기로 했지만 소비자의 혼란과 불편이 예상된다.

금감원은 피해가 확산되자 지난달 29일 금융기관에 ‘기프트카드 온라인 부정 사용 사고 관련 유의사항’ 공문을 보내 시스템 보안 강화를 지시하고 피해 상황 집계에 나섰다. 경찰은 주범 이 씨를 컴퓨터 등 사용 사기 혐의로 구속하고 나머지 일당 8명을 불구속 기소 의견으로 검찰에 송치했다. 경찰 관계자는 “이 씨의 돈을 받은 복수의 계좌를 확인해 보니 대부분 중국인으로 드러났다”며 “해킹 조직의 실체를 추적하고 있다”고 말했다.

박훈상 tigermask@donga.com·김철중 기자

관련뉴스