카드 정보 유출로 인한 부정사용 ... 실물 카드의 근본적인 문제 해결해야
지난해 12월, 클롭(CLOP) 랜섬웨어 조직에 의해 국내 유통기업이 공격당하는 사건이 발생했다. 랜섬웨어 공격으로 인해 주요 업무 시스템이 암호화되면서 해당 기업은 오프라인 매장의 영업을 중단해야 했으며, 이로 인해 '사이버 공격'이 현실세계에도 영향을 미칠 수 있다는 사실을 다시 한 번 각인시키는 계기가 됐다. 특히 공격 과정에서 이들은 고객 신용카드 정보를 유출했다고 주장하며, 다크웹에 90만 건에 이르는 정보를 공개하며 피해 기업을 협상 테이블로 끌어들이기 위해 안간힘을 썼다.
해당 사건에 대해 보안 전문가는 동일 조직이 사용한 악성코드를 분석해 ISO 7811 표준에서 지정한 트랙1과 트랙2의 정보를 탈취할 수 있다고 설명했다. ISO 7811은 플라스틱 카드의 마그네틱 띠에 정보를 기록하는 방식을 규정한 국제표준으로, 트랙1과 트랙2에는 카드 사용에 관한 모든 정보가 포함돼 있다. 이 정보를 유출한 것만으로 마그네틱 기반의 복제 카드를 만드는 것이 가능하며, 특히 트랙2 정보는 결제 승인을 즉시 얻을 수 있는 데이터이기 때문에 PCI 보안표준위원회에서는 이를 반드시 보호해야할 민감 신용카드 정보로 분류하고 있다.
해당 유출 사고와 관련해 실질적인 피해는 보고되지 않았으나, 피해 가능성은 여전히 존재한다. 카드와 관련한 거의 모든 정보가 유출됐을 경우 사이버 공격자는 실물 카드 없이도 복제 카드를 만드는 것은 물론, 카드번호/유효기간/CVC번호 등을 통해 온라인 거래에서 카드를 부정사용 하는 것 역시 가능하다.
최근에는 개인의 카드 정보 유출이나 실물 카드가 도난 당하지 않은 상태에서도 일정한 규칙에 따라 카드 정보를 알아내는 '빈 어택(BIN Attack)' 같은 공격 역시 성행하고 있다. 우리가 사용하는 카드의 16자리 번호 중 처음 6자리는 은행이나 카드사의 고유번호이기 때문에 일정한 규칙을 가지고 생성된다. 사이버 공격자는 이를 노리고 처음 6자리를 고정한 뒤 나머지 10자리를 무작위 대입으로 알아낸다. 이 때문에 BIN(Bank Identification Number)을 이용한 공격을 뜻하는, 빈 어택이라는 이름이 붙었다. 특히 일부 해외 온라인 쇼핑 플랫폼에서 카드 유효성을 검증하는 CVC 번호를 요구하지 않는 점을 악용하는 변형된 빈 어택이 발생했으며, 공격자는 이 방법으로 결제 승인 요청을 보내 유효한 카드번호와 유효기간 4자리를 알아내는 데 성공하기도 했다.
빈 어택이 위험한 이유는 카드번호 유출을 막는 것이 원천적으로 불가능하기 때문이다. 정보 유출이 의심되는 사용자가 카드를 새로 발급 받더라도, 공격자는 동일한 방법으로 카드 번호를 유출할 수 있다. 특히 공격자가 자동화 매크로 프로그램을 이용할 경우 카드 번호 대량 수집도 가능한 상황이며, 이러한 정보가 다크웹 등을 통해 거래될 경우 예상하기 힘든 피해가 발생할 수도 있다.
이러한 부정거래가 발생하는 근본적인 이유는 각종 결제에 필요한 카드 정보가 고정돼 있다는 점이다. 우리는 카드를 발급받는 순간부터 16자리 카드번호, 4자리 유효기간, 3자리 CVC 번호 등의 고정된 정보를 유효기간이 만료될 때까지 사용한다. 간편결제, 모바일 카드 등 결제와 관련한 기술이 등장하고, 본인인증에 기존 카드 비밀번호 대신 생체인식을 사용하는 등 결제와 관련한 기술은 꾸준히 발전하는 반면, 이러한 기술의 기본이 되는 실물 카드에 대한 기술 수준은 과거와 크게 달라진 점이 없는 셈이다.
이같은 부정사용을 막기 위해서는 실물 카드에 대한 기술 변화가 필요하다. 가령 카드 결제에 필요한 각종 정보를 무작위로 생성하면서도, 이러한 일회용 정보를 결제 주체인 카드 소유주와 연결해 인증할 수 있다면 카드 정보가 유출되더라도 이로 인한 부정사용을 막을 수 있다.
인증보안 전문기업 센스톤은 일회용 다이내믹 인증 코드로 인증 대상을 식별하는 OTAC(One Time Authentication Code) 기술을 결제에 적용해 온/오프라인 결제에서 발생할 수 있는 카드 사기에 대응할 수 있다고 설명했다. 무작위로 생성된 일회용 카드 번호를 결제에 사용하면서도, 카드의 실제 사용자와 정보를 연결할 수 있기 때문에 부정 사용을 예방할 수 있다.
오늘날 실물 카드 사용은 점차 줄어들고, 스마트폰과 인터넷만으로 온/오프라인 결제가 가능한 환경이 만들어졌다. 특히 거래와 관련한 모든 정보가 디지털 환경에서 오가는 만큼, 사이버 공격으로 인한 정보 유출 가능성은 물론, 부정사용 우려도 커지는 상황이다. 때문에 고정된 정보를 사용하고, 이러한 정보가 악용될 수 있는 기존 실물 카드의 구조를 근본적으로 바꿔야할 필요성 역시 커지고 있다.