퍼즐식으로 신용카드 번호 맞춰

인터넷 쇼핑몰의 신용카드사용에 허점을 이용하여 카드정보를 빼내 수억 원 어치의 쇼핑을 해오다 경찰에 적발된 추모(23)씨의 범행 수법은 의외로 간단했다.

먼저 추 씨는 회원관리가 허술한 전자상거래 사이트에 접속하여 아이디, 비밀번호와 주민번호 등 7000여명의 회원정보를 빼냈다. 대부분의 사용자들은 사이트에서 이용하는 아이디, 비밀번호를 다른 사이트와 동일하게 쓰는 경우가 많다는 것을 이용하여 쇼핑몰과 카드사, 결제대행사(PG) 홈페이지에 접속해 카드번호16자리를 퍼즐 식으로 짜 맞췄다.

예를 들면 A인터넷 쇼핑몰에 로그인한 후 결제기록을 열람하여 부분적으로 나와 있는 신용카드번호 12자리‘1234-4567-8912-****’를 입수한 후 B쇼핑몰에 똑같은 방법으로 접속해 나머지4자리‘****-4567-8912-5323’을 알아내어 맞추는 수법이다.

이렇게 알아낸 카드번호를 가지고 안심결제의 허점을 이용하여 추 씨는 무려1억8천만 원어치의 인터넷쇼핑을 한 것으로 밝혀졌다.

◆안전결제 서비스 허점= 현재 안전결제와 안심클릭 모두 본인이 아니어도 카드번호와 패스워드 등만 입력하면 인증서를 재발급 받을 수 있으며 인터넷뱅킹의 경우 인증서를 재발급 받으면 기존 인증서가 폐기되는 반면 안전결제 인증서는 그대로 남아 있다.

이번 사건을 수사한 경찰은 안심클릭과 안전결제 모두 기본적으로 카드번호와 패스워드만 알면 부정사용이 가능하다는 점이 가장 큰 문제라고 지적했다.

이러한 피해를 최소화 하고 미연에 방지하기 위해서는 쇼핑몰은 결제정보가 남지 않게 수정을 해야 하며 카드사역시 안심결제 서비스를 강화된 프로그램으로 보강하고 공인인증서를 의무화 하는 등 여러 가지 방침을 마련해야 한다.

무엇보다도 개인의 인터넷 아이디와 패스워드를 타 사이트에서 동일하게 하지 않는 것이 좋으며 오랫동안 방문이나 로그인하지 않은 사이트는 회원을 탈퇴하는 등 개개인의 정보보안 관리가 가장 중요하다.

관련기사 : 인터넷 신용카드결제 해킹 당했다

[엄종복 기자(a@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>