신한카드에서 내놓은 A 신용카드가 카드번호 생성 체계가 허술해 보안성이 취약한 것으로 나타났다. 금융감독원 조사 결과 신한카드뿐 아니라 다른 국내 카드사도 비슷한 상황인 것으로 드러나 체계를 개선해야 한다는 목소리가 나온다. 카드업계에선 이를 받아들여 카드번호 발급 체계를 개선하기로 했으며, 개선 작업은 2~3개월 정도 소요될 것으로 전망했다.
 
이번 신한카드의 사례는 그간의 신용카드 보안 이슈와 조금 결이 다르다. 과거에는 주로 주민등록번호 등 개인정보가 해킹 등 방법으로 유출되면, 그 개인정보를 활용해 새롭게 카드를 만들어 결제하는 식의 부정 사용 사례가 많았다.
 
하지만 A 카드의 경우 이미 발급된 카드의 16자리 번호와 유효기간을 조합해 부정결제를 할 수 있는 것으로 파악됐다. 국내에선 비밀번호나 카드 뒷면의 CVC 번호 등 추가 본인 확인수단을 요구하는 반면, 해외 사이트는 카드번호와 유효기간만으로 결제가 가능한 곳이 적지 않다는 점을 이용한 것이다.
 

사실 CVC 번호 입력 과정이 없더라도 카드번호는 경우의 수가 매우 많기 때문에 특정 카드를 알아내기는 어렵다. 
 
주민등록번호 앞 7자리(생년월일+성별)처럼 특정 은행이나 카드사의 상품을 나타내는 고유 번호인 앞 6자리는 파악하기 쉽지만, 나머지 10자리는 카드사가 여러 가지 변수를 고려해 복잡한 과정을 거쳐 지정하기 때문이다. 여기에 유효기간까지 정확하게 일치시키려면 경우의 수가 더 많아져 이런 카드번호 추정 방식의 부정결제 사례는 과거에 거의 나타나지 않았다.
 
하지만 A 카드는 뒷번호 10개 중 끝 2자리를 고객이 발급받은 순서대로 부여했기 때문에 발생한 것으로 추정된다. 여기에 A 카드는 ‘혜자카드’로 불리던 혜택이 좋은 카드였는데, 지난해 말 A 카드가 단종된다는 소식에 발급하려는 고객이 연말에 몰려 유효기간도 비슷하게 형성될 수밖에 없었다. 신용카드 유효기간은 일괄적으로 발급일로부터 5년인 데다가, ‘일’ 단위까지가 아닌 ‘월/연’까지만 표시되기 때문에 경우의 수를 대폭 줄일 수 있다.
 
이에 신한카드는 “이번 피해 사례를 참고해 이상거래탐지시스템(FDS)을 더욱 강화하고, 카드 번호를 부여하는 방식도 개선하겠다”며 “선(先) 보상 등 소비자 피해구제에 적극적으로 나서겠다”고 설명했다.
 

최근 금감원은 신한카드의 해외 부정결제를 계기로 카드번호 발급 체계를 검토한 결과, 위 같은 보안 취약성을 확인했다. 이에 금감원은 다른 카드사에도 같은 문제점이 있는지 점검하도록 지도했다.
 
21일 카드업계에 따르면 다른 카드사들도 신한카드와 비슷한 방식으로 번호를 부여하는 것으로 나타났다. 유일하게 외국계인 씨티카드만 번호를 무작위로 발급해 와 보안성이 높았다. 이에 문제를 발견한 국내 카드사들은 씨티카드처럼 무작위성을 강화하는 작업에 나섰다. 한 카드사 관계자는 “카드사들이 카드 번호 체계를 변경하는 개발에 착수했다”며 “발급 체계 개선 작업에는 두세 달 정도 걸릴 것”이라고 전했다.
 
다만 금감원 관계자는 “현재로썬 민원이 제기된 신한카드에 대해서만 취약성을 확인했다”며 “다른 카드사에는 회의를 별도로 개최해 카드번호 발급체계를 자체 점검하도록 지도했다”고 말했다. 이어 “해외 부정결제에 대비해 카드 이용자들에게 ‘해외결제 차단서비스’를 이용하도록 안내하겠다”고 덧붙였다. 
 
해외결제 차단서비스는 카드 해외 부정 사용으로부터 안전하게 관리할 수 있도록 해외거래를 일시정지하는 서비스다. 평소에는 서비스를 유지하다가 필요할 때 해제하면 ‘직구’ 등 해외결제를 정상적으로 이용할 수 있다.
 
다른 카드사 관계자는 “지금으로썬 (신한카드 사례와) 비슷한 피해가 재발할 우려가 없는 것은 아니기 때문에 현재 소유한 카드를 재발급받는 방법도 고려할 수 있다”고 조언했다.

윤형준 기자 yoon.hyeongjun@joongang.co.kr

ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지