닫기

글로벌이코노믹

카드사, 해외 부정 결제 시도에 '몸살'…아마존 통해 고객 정보 유출

글로벌이코노믹

금융

공유
9

카드사, 해외 부정 결제 시도에 '몸살'…아마존 통해 고객 정보 유출

이미지 확대보기
카드사들이 보완에 취약한 해외 인터넷 쇼핑몰 때문에 몸살을 앓고 있다. 일부 해외 쇼핑몰은 기본적인 카드 정보를 유추해서 개인 정보를 빼내는 범죄에 상시 노출돼 있기 때문이다.

최근 인터넷 쇼핑몰 아마존에서 특정 카드 상품 고객들에 대해 부정 결제 시도가 다수 발생해 민원에 시달리고 있다.
26일 한 카드사 관계자에 따르면 "지난 24일 밤부터 25일 새벽까지 해외 쇼핑몰인 아마존에서 자사의 고객들이 1~2달러의 소액 결제가 결제·취소되는 현상이 동시다발적으로 다수 발생한 것을 확인했다. 해당 결제건은 아직 확인되지 않았지만 상당수에 이를 것으로 보인다"고 말했다.

1명의 고객이 여러건의 부정 결제 시도가 있는 경우도 많아 현재 관련 민원이 발생하고 있다. 자신이 결제하지 않은 소액 결제건이 아마존에서 발생해 개인 정보가 유출됐다는 민원들이다.
이는 아마존의 결제 방식을 악용해 고객 정보를 빼내려는 시도가 있었기 때문이다. 아마존의 경우 신용·체크카드 번호와 카드 유효기간만 알면 카드 결제가 가능하다. 해킹 범죄자들이 이런 취약점을 노려 특정 프로그램을 활용, 고객들의 카드 번호를 유추해서 정보를 알아내는 것이다.

이같이 고객 정보를 빼내는 방식을 현업에서는 '빈 어택(BIN ATTACK)'이라고 부른다. 신용·체크카드의 경우 16자리 중 앞의 6자리를 BIN(Bank Identification Number)이라 부르는데, 6자리는 각각 의미가 담긴 특정 번호가 부여된다. 예를 들어 국내 전용 카드는 모두 '9'로 시작하고, 해외 전용일 경우는 비자 '4', 마스터 '2', 또는 '5' 등으로 시작된다는 점을 착안, 해커들이 BIN 번호를 유추해서 고정해놓는다. 나머지 9~10자리의 카드 번호와 유효기간은 매크로 프로그램 등으로 무작위로 카드 결제를 시도해서 승인 가능한 것을 추려내 고객 정보를 빼내는 수법이다.

카드업계 관계자는 "아마존 같은 경우에는 국내처럼 CVC 번호 등을 요구 하지 않고 카드 번호와 유효 기간만 알면 결제가 가능하다"며 "이 때문에 이같은 빈 어택이 지속적으로 계속 발생하고 있어 카드사들이 구축해놓은 FDS(이상금융거래탐지시스템)를 통해 이런 결제건을 걸러낸다"고 말했다.

이어 "아마존의 경우 고객이 결제를 할 때 일종의 가승인처럼 소액 결제를 통해 결제 가능 여부를 보고, 물건을 결제하는 과정을 거친다"며 "아마존에서 이같은 빈 어택 현상이 발생하면 가승인 소액 결제가 다수 시도되면서 범죄자들이 결제 가능한지를 보고 고객 정보를 빼낸다"고 말했다.

이같은 빈 어택은 해외 쇼핑몰 등을 통해서 다수 발생하고 있다. 최근에도 일부 카드사들이 월평균 100~200건의 시도가 있어 FDS를 통해 걸러내고 있다. 앞서 2017년 C은행에도 유사한 사례가 있었던 것으로 전해졌다.

다만 이번 사건의 경우 단 시간 내에 특정 상품 고객들에게 부정 카드 승인 시도가 발생해 해당 카드사 차원에서 현재 상황 파악에 나서는 한편, 고객들의 민원에 따라 카드를 재발급해주고 있다.

이 카드사 관계자는 "현재 현황을 파악중"이라며 "(아마존의 부정 사용) 승인건에 대해서는 가맹점 확인 등을 통해 취소를 하고 비슷한 거래 유형의 결제들을 막고 있다"고 설명했다.

한편 이같은 빈 어택을 통해 해외에서 카드 결제가 승인된다면 카드사로부터 보상을 받을 수 있다. 업계 관계자는 "다양한 경로로 카드 정보가 유출될 가능성이 있어 FDS를 통해 그런 결제건을 걸러내지만 만약 그렇지 않다면 카드사가 보상해준다"고 말했다.

부정 결제 방법에 따라 신용카드의 경우에는 아예 해당 결제건에 대해 고객에게 청구 자체를 하지 않는 '청구 보류'를 해주고, 체크카드의 경우 출금된 금액만큼 고객에게 돌려주는 방식 등이 있다.


이효정 글로벌이코노믹 기자 lhj@g-enews.com