中조직, 3억대 기프트카드 정보 빼가
18일 금융감독원과 경찰에 따르면 이 씨 일당에게 기프트카드 정보를 넘긴 중국 해킹 조직은 실제 구입한 기프트카드의 카드번호와 유효기간 등을 토대로 또 다른 기프트카드 정보를 생성해냈다. 총 16자리인 카드번호 가운데 일부 숫자만 바꾸면 유효기간이 같은 새로운 카드번호가 생성된다는 점을 이용한 것으로 경찰은 추정하고 있다. 한 카드사 관계자는 “카드번호는 자릿수마다 특정한 정보를 담고 있으며 일정한 패턴이 있다”면서 “카드번호 생성 알고리즘을 잘 알고 있는 사람의 소행으로 보인다”고 말했다.
해킹 조직은 카드번호와 유효기간 외에 카드 뒷면에 새겨진 3자리의 CVC(유효성 확인코드) 번호까지 추출해냈다. 카드사 홈페이지의 ‘기프트카드 잔액조회 서비스’에 카드번호와 유효기간을 입력한 뒤 CVC 번호에는 임의의 숫자를 반복적으로 입력해 일치하는 번호를 알아내는 방식이었다. 결국 해킹 조직은 지불결제 기능이 있는 카드의 핵심 정보 3가지(카드번호, 유효기간, CVC 번호)를 모두 확보할 수 있었다. 금감원 관계자는 “과거 카드사 정보유출 사태처럼 서버를 뚫어 내부 정보를 빼간 경우와는 다르다”면서도 “누구나 쉽게 접근할 수 있는 홈페이지상의 잔액조회 서비스를 악용한 사례”라고 설명했다.
해당 카드사들은 “무기명 선불카드인 기프트카드는 소유권이 계속 바뀌기 때문에 여러 사람이 돌아가며 잔액을 조회할 수 있다”며 “이때 여러 명이 CVC 번호를 실수로 잘못 입력할 경우 다음 사용자가 불편을 겪을 수 있어 일부러 보안장치를 두지 않았다”고 해명했다.
두 카드사는 각각 지난해 12월과 올해 1월에 평소보다 잔액조회 시도가 급증했다는 사실을 포착하고 CVC 번호 오류 횟수를 뒤늦게 제한했다. 다만 내부 보안시스템을 바꾸는 데 2주일가량 걸렸고, 경찰은 이 기간에 중국 해킹 조직이 수백 장의 기프트카드 정보를 확인해 빼돌린 것으로 파악하고 있다.
현재까지 카드사가 확인한 피해 건수는 A사가 10여 건(약 500만 원), B사가 20여 건(약 990만 원)이다. 이는 기프트카드에 남아 있는 돈이 없다는 사실을 확인한 고객이 민원을 제기한 것만 포함한 것이라서 앞으로 피해 금액이 더 늘어날 소지도 있다.
카드사들은 일부 기프트카드 고객의 피해 신고를 받은 뒤에도 이런 사실을 금감원에 보고만 했을 뿐 다른 고객들에게는 알리지 않았다. A사 측은 “기프트카드는 무기명 방식이라 현재 소유주가 누구인지 확인할 방법이 없다. 다만, 잔액을 확인해 문제를 제기한 고객에 대해서는 실제 피해 여부를 확인해 보상할 방침”이라고 말했다.
김철중 tnf@donga.com·박훈상 기자