번호체계 개선에 몇달 소요…"탐지시스템으로 효과적 차단 가능"
금융감독원이 최근 확인한 신한카드 번호체계의 보안 취약성이 다른 국내 카드사에서도 비슷한 상황인 것으로 전해졌다.
19일 복수의 카드업계 관계자에 따르면 국제 브랜드(비자, 마스터) 제휴 해외 겸용카드의 번호·유효기간 유출과 도용을 막기 위해 각 카드사가 번호 체계 개선에 착수했다.
앞서 금감원은 이달 15일 신한카드의 비자·마스터 브랜드 카드 번호가 규칙성이 드러나게 발급돼 해외 부정사용에 노출될 위험을 확인했다고 발표했다.
카드 1장의 16자리 번호와 유효기간만 파악해 번호 끝 1~2자리만 바꿔 같은 유효기간과 조합하면 정상적인 카드 정보를 알아낼 수 있다는 것이 민원인 제보를 통해 드러났다.
CVC 번호 등 추가 본인 확인수단을 요구하는 국내 쇼핑몰과 달리 해외에는 카드번호와 유효기간만으로 결제가 가능한 곳이 적지 않다.
금감원은 신한카드에 발급 체계를 개선하도록 하고 다른 카드사에도 같은 문제점이 있는지 점검하라고 지도했다.
그러나 다른 카드사도 신한카드와 비슷한 방식으로 번호를 부여하므로 같은 취약점이 있다는 게 카드업계의 설명이다.
상위권 카드사 A사 관계자는 "씨티은행 카드를 제외하고 다른 국내 카드사도 대체로 비슷한 방식으로 국내외 겸용 카드의 번호를 부여한다"며 "각사가 씨티 카드처럼 무작위성을 강화하는 방식으로 번호 체계 변경에 나섰다"고 전했다.
번호체계를 변경하려면 전산작업 등에 '2~3개월'이 걸릴 것으로 업계는 전망했다.
금감원 관계자는 "현재로선 민원이 제기된 신한카드에 대해서만 취약성을 확인했으며 다른 카드사의 상황은 보고받은 것이 없다"고 말했다.
카드업계는 번호체계의 보안 취약성이 광범위한 문제이긴 하지만 이상거래탐지시스템(FDS)으로 효과적으로 차단할 수 있기 때문에 카드를 다시 발급할 필요는 없다고 강조했다. FDS는 모든 카드 결제를 실시간으로 감시, 이상 거래가 감지되면 해당 카드의 사용을 자동으로 차단하는 시스템이다.
신한카드는 번호체계 취약점으로 발생한 부정거래 피해는 현재까지 보고되지 않았다고 밝혔다.
다른 카드업계 관계자도 "번호체계의 취약성을 이용해 카드번호와 유효기간을 알아냈다고 해도 국내에서는 그 정보만으로 결제가 불가능하며, 해외에서는 결제가 진행되나 고도화된 FDS가 승인을 효과적으로 차단하고 있다"고 말했다.
소비자가 스스로 해외 부정거래 위험을 간단하게 차단할 수도 있다고 카드업계는 안내했다. 해외 '직구' 등 해외 사용이 거의 없는 경우라면 '해외결제 차단서비스'를 신청하고 필요할 때만 살리는 방법으로 해외로부터 도용 시도를 막을 수 있다.