다크웹에서 판매되는 4백만 개의 카드 정보, 그 중 12,500여 개는 대한민국 카드

[보안뉴스 권 준 기자] 다크웹에서 판매된 12,500여 개의 대한민국 카드 정보를 분석한 사이버 보안 업체 NordVPN의 리서치에 따르면 대한민국 카드의 평균 가격은 8,630.37원으로 나타났다.


NordVPN의 최고기술책임자(CTO) 마리유스 브리디스(Marijus Briedis)는 “대한민국 카드는 상당히 저렴하다(세계 평균 카드 가격은 11478.78원). 대한민국은 사용자 친화적인 카드 사기 방지 정책을 시행하고 있기 때문”이라며, “분실하거나 도난당한 카드가 불법으로 사용되는 경우 카드 발급사는 신고가 접수된 날부터 최대 60일 전까지 불법으로 사용된 금액에 대한 책임을 진다”고 설명했다.

이번 연구로 밝혀진 대한민국 카드의 가격은 1,197원부터 23,940원까지 다양했다. 3,855개의 대한민국 카드의 평균 가격은 4,788원이었으며 전체 평균 가격은 8,630.37원이었다. 가장 비싼 카드는 평균 가격이 64,362.17원인 일본 카드이며, 가장 저렴한 카드는 평균 가격이 1,350.44원 미만인 온두라스 카드였다.

마리유스 브리디스는 “카드 가격은 수요에 크게 영향을 받는다. 수요가 높을수록 범죄자는 특정 데이터를 더 높은 가격에 판매할 수 있다. 이 경우 수요는 카드에서 자금을 탈취하기가 얼마나 쉬운지, 얼마나 많은 자금을 탈취할 수 있는지와 직접적으로 관련되어 있다”며, “이 때문에 가격이 비싼 카드 대부분은 삶의 질이 높거나 은행 보안 조치가 취약한 국가의 카드”라고 설명했다.

해킹된 카드 중 12,578개 카드가 대한민국 카드였다. 카드 유출로 가장 큰 영향을 받은 국가는 미국으로 판매 중인 4,481,379개의 카드 중 1,561,739개가 미국 카드였다. 두 번째로 큰 영향을 받은 국가는 오스트레일리아로 419,806개의 카드가 다크웹에서 판매 중인 것으로 나타났다.

대한민국이 신용카드 유출이 빈번하게 발생하는 국가 중 하나라는 것을 고려했을 때 12,578개는 상당히 낮은 수치라고 할 수 있다. 이는 신용카드 발급사가 카드 보안을 책임져야 한다고 규정하는 대한민국의 법률 때문일 수 있다는 게 NordVPN 측의 해석이다. 원칙적으로 카드사는 신고가 접수된 날부터 최대 60일 전까지 불법으로 사용된 금액에 대한 책임을 지게 된다. 이는 카드 발급사가 시행 중인 보안 조치를 개선하는 유인이 되고 있다.

마리유스 브리디스는 “판매되는 카드는 일반적으로 무차별 대입 공격을 통해 유출된다. 무차별 대입 공격은 범죄자가 카드 번호와 CVV를 유추해 입력하는 방법을 의미한다. 카드의 첫 6~8자리는 카드 발급사의 ID 번호이다. 16번째 자리는 체크섬이며 번호 입력 시 실수가 발생하는지 확인하기 위한 용도로만 사용되므로 해커가 유추해야 할 번호의 수는 7~9개”라고 설명했다.

이에 스스로를 보호하기 위해서 사용자는 주의를 기울이고 월간 명세서를 정기적으로 검토해 의심스러운 거래가 발생하지 않았는지 확인해야 한다. 또한, 시행하고 있는 보안 조치를 고려해 은행을 선택하는 것이 중요하다.

NordVPN 최고기술책임자 마리유스 브리디스는 “카드 사기 방지에 충분한 주의를 기울이지 않는 은행은 사용자의 안전을 보장하는데 도움이 되지 않는다. 은행은 사기 공격을 방지할 목적으로 결제 시도를 추적하기 위해 사기 방지와 같은 도구를 이용할 수 있기 때문”이라며, “강력한 비밀번호 시스템도 카드 사기를 방지하는 데 큰 도움이 된다. 다행히 다단계 인증이 최소한의 표준이 되고 있다”고 말을 맺었다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>