최근 해커의 공격으로 KB국민카드 고객 2000여명의 카드번호가 노출된 것으로 3일 알려지면서 이때 사용된 ‘빈(BIN) 어택’에 관심이 쏠린다.

빈 어택이란 임의의 값을 무한반복 대입해 정확한 값을 추출하는 해킹 방법이다. 카드 일련번호 16자리 중 카드사별 BIN 값을 고정한 후 나머지 숫자를 무작위로 대입해 부정결제를 시도하는 것으로, 통상 표현하는 ‘정보 유출 사고’와는 다르다.

이번 빈 어택으로 KB국민카드의 ‘로블 시그니쳐 비자’ 카드가 지난달 말 미국 최대 규모의 인터넷 종합 쇼핑몰인 아마존에서 사용됐다. 해커들은 아마존이 고객에 ‘CVC번호’를 요구하는 대신 ‘1달러 결제 승인’을 요청하는 사실을 악용했다.

다만 KB국민카드는 이같은 부정사용을 즉시 감지해 해당 카드의 승인을 취소하고 거래를 정지했다. 또 관련 패턴을 이상금융거래 탐지시스템(FDS)에 반영하고, 금융당국 등에 이를 알려 추가 피해를 막았다.

금융감독원은 KB국민카드 측 과실로 인한 고객 피해가 아니고 금전적 피해도 없었던 만큼 별도의 검사 계획은 없는 것으로 전해졌다.

문제는 추가 인증절차를 거치지 않는 해외결제와 관련해 국내 금융당국과 카드사가 마땅한 대응책을 세울 수 없다는 점이다.

한 카드사 관계자는 “빈 어택은 모든 카드사에서 빈번하게 발생한다”며 “카드사 FDS에서 걸러져서 해외 승인이 차단되면 해당 고객에 직접 확인을 해서 최대한 피해가 없도록 하고 있다”고 설명했다.