[단독]비번역할 ‘CVC’ 수없이 틀려도 차단장치 없었다

  • 동아일보
  • 입력 2016년 2월 19일 03시 00분


코멘트

中조직, 3억대 기프트카드 정보 빼가

서울 강서구에 사는 A 씨는 지난해 12월 중순 50만 원짜리 기프트카드 8장을 샀다. 불과 며칠 뒤, A 씨는 이 기프트카드로 결제를 하려다 잔액이 ‘0원’이라는 사실을 확인했다. 구입 당시 잔액이 50만 원이라는 것을 직접 확인한 뒤 카드를 집에만 보관했던 그는 누군가 돈을 빼갔다는 생각에 곧장 경찰에 신고했다. 수사에 나선 경찰은 A 씨의 기프트카드가 특정 모바일상품권을 사는 데 쓰인 사실을 확인하고 추적 끝에 이모 씨(23) 일당을 검거했다.

18일 금융감독원과 경찰에 따르면 이 씨 일당에게 기프트카드 정보를 넘긴 중국 해킹 조직은 실제 구입한 기프트카드의 카드번호와 유효기간 등을 토대로 또 다른 기프트카드 정보를 생성해냈다. 총 16자리인 카드번호 가운데 일부 숫자만 바꾸면 유효기간이 같은 새로운 카드번호가 생성된다는 점을 이용한 것으로 경찰은 추정하고 있다. 한 카드사 관계자는 “카드번호는 자릿수마다 특정한 정보를 담고 있으며 일정한 패턴이 있다”면서 “카드번호 생성 알고리즘을 잘 알고 있는 사람의 소행으로 보인다”고 말했다.

해킹 조직은 카드번호와 유효기간 외에 카드 뒷면에 새겨진 3자리의 CVC(유효성 확인코드) 번호까지 추출해냈다. 카드사 홈페이지의 ‘기프트카드 잔액조회 서비스’에 카드번호와 유효기간을 입력한 뒤 CVC 번호에는 임의의 숫자를 반복적으로 입력해 일치하는 번호를 알아내는 방식이었다. 결국 해킹 조직은 지불결제 기능이 있는 카드의 핵심 정보 3가지(카드번호, 유효기간, CVC 번호)를 모두 확보할 수 있었다. 금감원 관계자는 “과거 카드사 정보유출 사태처럼 서버를 뚫어 내부 정보를 빼간 경우와는 다르다”면서도 “누구나 쉽게 접근할 수 있는 홈페이지상의 잔액조회 서비스를 악용한 사례”라고 설명했다.

특히 이번에 문제가 된 카드사들은 이 CVC 번호를 일정 횟수 잘못 입력했을 때 더이상 조회할 수 없도록 하는 간단한 보안절차도 마련해 놓지 않은 탓에 피해를 자초했다. 대부분의 금융사나 인터넷 포털사이트는 고객이 틀린 비밀번호를 3회 또는 5회 입력하면 해당 서비스를 더는 이용할 수 없도록 막고 있다. 하지만 문제가 된 두 카드사는 이런 보안장치를 생략했다.

해당 카드사들은 “무기명 선불카드인 기프트카드는 소유권이 계속 바뀌기 때문에 여러 사람이 돌아가며 잔액을 조회할 수 있다”며 “이때 여러 명이 CVC 번호를 실수로 잘못 입력할 경우 다음 사용자가 불편을 겪을 수 있어 일부러 보안장치를 두지 않았다”고 해명했다.

두 카드사는 각각 지난해 12월과 올해 1월에 평소보다 잔액조회 시도가 급증했다는 사실을 포착하고 CVC 번호 오류 횟수를 뒤늦게 제한했다. 다만 내부 보안시스템을 바꾸는 데 2주일가량 걸렸고, 경찰은 이 기간에 중국 해킹 조직이 수백 장의 기프트카드 정보를 확인해 빼돌린 것으로 파악하고 있다.

현재까지 카드사가 확인한 피해 건수는 A사가 10여 건(약 500만 원), B사가 20여 건(약 990만 원)이다. 이는 기프트카드에 남아 있는 돈이 없다는 사실을 확인한 고객이 민원을 제기한 것만 포함한 것이라서 앞으로 피해 금액이 더 늘어날 소지도 있다.

카드사들은 일부 기프트카드 고객의 피해 신고를 받은 뒤에도 이런 사실을 금감원에 보고만 했을 뿐 다른 고객들에게는 알리지 않았다. A사 측은 “기프트카드는 무기명 방식이라 현재 소유주가 누구인지 확인할 방법이 없다. 다만, 잔액을 확인해 문제를 제기한 고객에 대해서는 실제 피해 여부를 확인해 보상할 방침”이라고 말했다.

금감원 측은 “해당 카드사로부터 피해 사실을 전달받았고 피해 규모를 계속 집계하고 있다”며 “범죄조직의 수법과 이에 대한 예방조치를 다른 금융회사에 전파해 추가 피해를 막는 데 주력하고 있다”고 말했다.

김철중 tnf@donga.com·박훈상 기자
#정보 유출#기프트카드#해킹
  • 좋아요
    0
  • 슬퍼요
    0
  • 화나요
    0
  • 추천해요

댓글 0

지금 뜨는 뉴스