고성능 컴퓨터로 번호 훔쳐
FTC “1분기만 15%나 증가”
성인 50% “피해 경험 있다”
#. 이모씨는 카드회사로부터 문자를 한 통 받았다. 뉴욕의 한 식당에서 이씨의 크레딧카드가 사용됐는데 본인 확인을 요구하는 문자였다. 그는 아니라고 답하고 카드 거래를 즉시 중지시켰다.
#. 한모씨도 황당했다. 사기 의심 거래로 새 크레딧카드를 재발급받아서 활성화 한 지 10분도 안돼 은행 측으로부터 부정 사용이 발견됐다며 카드 승인을 취소하고 거래를 정지했다며 다시 새 카드를 발송하겠다는 전화를 받았다고 혀를 찼다.
크레딧카드 관련 사기가 급증하고 있다.
연방공정거래위원회(FTC)는 올 1분기 동안 크레딧카드 관련 사기 건수가 직전 분기 대비 15%가 증가했다고 밝혔다. 한 조사에 따르면 성인 2명 중 1명은 크레딧카드 사기 경험이 있었다.
과거에는 크레딧카드 스키밍 사기가 기승을 부렸다면 이제는 고성능 컴퓨터를 사용해 크레딧카드 또는 데빗카드의 은행식별번호(BIN) 공격이 급증하고 있다는 게 보안 업계의 지적이다.
BIN 공격은 카드 일련번호 16자리 중 처음 6~8자리가 특정 은행이나 카드사의 특정 상품을 나타내는 고유 번호인 ‘빈(BIN)’임을 노리고 카드번호를 알아내는 수법이다. 다시 말해서 빈 번호는 고정값이므로 이 6~8자리를 알면 무작위로 번호를 생성시키는 프로그램을 활용해 나머지 8~10자리를 알아낼 수 있다.
사기범들은 이렇게 알아낸 카드로 전자상거래 사이트 아마존에서 소액을 결제를 통해 카드 사용 가능 여부를 확인한다는 게 전문가들의 설명이다.
부정사용 금액이 건당 1달러에 불과한 것은 빈 공격을 시도한 사기범들이 아마존의 거래 행태를 범행에 활용했기 때문으로 보인다.
아마존은 결제 시 고객에게 카드번호와 유효기간만을 요구해 사기범들이 무작위로 생성한 카드번호로 ‘결제실험’을 하기가 용이하다.
아마존이 최초 결제 카드인 경우 결제 가능한 카드인지를 확인하기 위해 카드사에 우선 1달러 결제 승인을 요청해 승인되면 이를 취소하고 본 결제를 진행하는 점도 이번에 타깃이 됐다. 1달러로 결제 시도를 하면 카드사 입장에서는 아마존이 결제 가능 카드인지를 확인하려는 1달러 승인 요청인지 사기범들의 빈 공격인지 구분하기가 쉽지 않은 허점을 노렸다는 것이다.
최근 렌트비 포인트 적립 등 혜택이 좋아 젊은층에 인기인 웰스파고의 마스터카드 빌트(Bilt) 크레딧카드 사용자들이 빈 공격의 희생자가 되고 있어 주의가 요구된다.
전문가들은 수시로 카드 청구서를 확인해서 본인이 쓰지 않은 거래에 대해 은행에 신고하는 방법이 최선의 예방책이라고 조언했다. 또한 이 빈공격의 경우에는 특정 크레딧카드에만 적용되는 게 아니라 모든 크레딧카드가 타깃이 될 수 있다는 점을 강조했다.
한 보안 전문가는 “크레딧카드 사용자 모두 잠재적인 공격 대상이자 피해자가 될 수 있다”며 “본인의 크레딧카드 계좌를 면밀히 주시하고 이상한 낌새를 발견하면 바로 대처하는 게 바람직하다”고 말했다. 이어 그는 “1달러를 포함한 소액 결제로 시험해 본 후에 큰 금액을 청구하는 사기로 이어질 가능성이 크기 때문에 소액 결제라도 바로 조치를 취해야 한다”고 덧붙였다.
우훈식 기자