신한카드 부정사용 사고, 당신의 카드는 안전하십니까(BIN공격)

신한카드 부정사용 사고, 당신의 카드는 안전하십니까(BIN공격)

2020년 1월 17일 서울특별시 주관으로 공개한 모바일 지역사랑상품권입니다. 소득공제는 30 가능합니다. 단, 코로나 특별대책으로 2020년 3월부터 6월까지 사용분에 대해서는 60가 적용됩니다. 2020년과 2021년에는 한국간편결제진흥원을 운영 대행사로 하여 제로페이 연계 기반으로 운영되었고, 2022년부터는 신한컨소시엄 신한카드 신한은행 카카오페이 티머니를 운영 대행사로 하여 카카오페이와 신한카드 연계 기반으로 운영하고 있습니다.

서울특별시에서는 소상공인 판매 수익 증대와 자치구별 상권 활성화를 위해 지역화폐가 필요합니다.고 판단했기에, 지역자금의 역외 유출을 막고 지역경제 활성화를 위해 도입하였습니다.


카드번호와 유효기간을 제작하는 방식
카드번호와 유효기간을 제작하는 방식

카드번호와 유효기간을 제작하는 방식

카드번호와 유효기간을 제대로 맞추는 것은 굉장히 힘듭니다. 카드번호 16자리 중 처음 6자리는 특정 은행이나 카드사의 상품을 나타내는 고유 번호이기 때문에 주민번호 앞자리처럼 누구 생일만 알면 주민번호 앞자리를 알 수 있듯이 공개된 정보입니다. 나머지 10자리는 카드사가 여러 가지 변수를 조합쳐서 번호를 만듭니다. 10자리 중 앞에 9자리는 카드사가 고객의 특성에 따라 이런그런 번호를 넣고 마지막 숫자는 어려운 식을 넣어서 제대로 된 카드 번호가 맞는지 심사숙고하는 숫자를 넣습니다.

통상적으로 카드사는 동일한 번호가 겹치지 않도록 1, 3, 5 등 불규칙하게 번호를 발행해 서버에 넣고 실제 카드 발급 때 사용합니다. 이런 어려운 과정을 거치고 앞에 9개는 카드사가 직접 지어하는 것이기 때문에 생각보다. 실제 있는 카드 번호를 추정하는 것이 어렵습니다.

부정 사용이 가능했던 이유
부정 사용이 가능했던 이유

부정 사용이 가능했던 이유

과거 부정 사용 사례를 살펴보면, 가장 자주보이는 수법이 주민번호 같은 개인 정보가 어떤 경로로든 먼저 유출이 되고 유출된 개인정보를 활용해서 없는 카드를 만들어 결제하는 식으로 이루어집니다. 그런데요 이번에는 다른 방식의 수법이 이용된 것으로 보입니다. 불특정 다수에서 금융 피해가 발생했고 피해자 공통점이 신한카드에서만 발생했다는 것입니다. 없는 카드를 제작하는 것이 아니라 이미 발급되어 있는 카드의 카드번호와 유효기간을 올정의롭게 조합쳐서 결제할 때 사용한 것입니다.

우리나라는 온라인으로 결제할 때 카드번호와 유효기간 그리고 카드 뒷면 서명란에 있는 숫자 세 자리인 CVC까지 요구합니다. 그런데요 한번은 해외사이트에서 결제합니다. 보시면 카드번호와 유효기간만 입력하면 결제가 가능한 경우가 있습니다.

외국인 가입불가
외국인 가입불가

외국인 가입불가

기본적으로 외국인의 이용을 제한한 것은 아니지만, 외국인이 사용하기에 실질적인 제약이 심합니다. 서울사랑상품권의 대표 앱인 서울페이는 한글 성명으로만 가입할 수 있는데, 이 성명과 동일한 명의의 회선으로 스마트폰 본인인증을 해야 가입이 가능하며, 상품권 구입 충전 시에는 등록된 성명과 동일한 명의의 계좌가 필요합니다. 예를 들어, 외국인 Frank씨가 서울사랑상품권을 구입하고 사용하려면 프랭크라는 이름으로 가입된 휴대폰과 계좌가 있어야 하며, 둘 중 하나라도 프랭크가 아닌 Frank 명의라면 서울사랑상품권 이용이 불가능합니다.

대부분의 외국인이 원어명으로 은행과 통신사를 이용하기 때문에 사실상 외국인의 가입을 제한한 것이나 다름없습니다..

서울시는 법령의 미비로 인해 한글 성명을 강제하고 있다며, 빠른 시일 내에 법률 개정 제안 및 조례 개정으로 로마자 이름을 사용할 수 있도록 하겠다고 밝혔다.

금감원금융감독원의 조사

피해자들은 카드사 측에서 바로 피해보상을 받기 힘들어지면서 피해자 모임 카페 등을 개설했고, 금감원은 신용카드사의 대규모 도용 피해사건에 대해 발생 경위와 문제점, 피해조치 적정성 등에 대해 별도 수시검사를 실시한다고 발표했습니다. 금감원은 카드의 보안체계가 허술한 점을 일부 확인했다고 발표했으며, 신한카드도 요새 문제된 특정 제휴카드에만 문제가 있는 것으로 확인되었다고 발표했습니다. 금융감독원은 이에 부정사용에 따른 손해를 피해자에게 보상하고, 추가적인 피해 예방을 위한 카드사의 이상 거래 탐지 시스템FDS을 강화하도록 지도 및 신용카드 회원들에게 해외 결제 방지 서비스를 이용하도록 안내하겠다고 말했습니다.

그리고 필요시에는 신한카드의 전수검사도 하겠다고 말했는데요. 억울하게 결제된 금액을 카드사가 피해보상을 해주지 않는다면, 피해자가 고스란히 감당해야되나요? 이번에는 신한카드의 대처가 아쉬운 부분이 너무 많습니다.

자주 묻는 질문

카드번호와 유효기간을 제작하는

카드번호와 유효기간을 제대로 맞추는 것은 굉장히 힘듭니다. 좀 더 구체적인 사항은 본문을 참고해 주세요.

부정 사용이 가능했던 이유

과거 부정 사용 사례를 살펴보면, 가장 자주보이는 수법이 주민번호 같은 개인 정보가 어떤 경로로든 먼저 유출이 되고 유출된 개인정보를 활용해서 없는 카드를 만들어 결제하는 식으로 이루어집니다. 좀 더 구체적인 사항은 본문을 참고해 주세요.

외국인 가입불가

기본적으로 외국인의 이용을 제한한 것은 아니지만, 외국인이 사용하기에 실질적인 제약이 심합니다. 더 알고싶으시면 본문을 클릭해주세요.