포인트 적립카드로 신용카드 비번 유추

경찰, 범행 서버 회수 및 피해자 카드 재발급 통보

[보안뉴스 김지언] 카드결제용 POS 단말기를 해킹하고 위조카드를 만들어 1억여원을 빼돌린 사건이 발생했다.

경찰청 사이버안전국 관계자는 “범인들은 전라남도 목포에 있는 커피전문점을 포함해 약 80여  곳의 가맹점에서 결제된 카드정보 20만건 이상을 빼낸 뒤 위조카드 149장을 만들고 현금지급기에서 1억2000만원을 인출했다”며, “해커 박모(35)씨 외 1명을 구속하고 조선족 지모(34)씨를 불구속 입건했다”고 9일 밝혔다.

범죄자들은 POS 단말기가 거래 내역 외에도 카드번호, 유효기간 등 각종 신용정보와 포인트 적립카드 정보도 저장하고 있는 것을 이용해 POS 단말기에 악성파일을 감염시켜 해킹한 후 범행을 저질렀다.

이는 고객들이 커피전문점 등에서 신용카드로 결제할 때 포인트 적립카드도 함께 사용한다는 점을 악용한 것이다. 대부분 포인트 적립카드는 포인트를 현금처럼 쓸 때 비밀번호를 입력하도록 한다.

이를 이용해 범죄자들은 포인트 적립카드의 비밀번호를 수집하고 신용카드 비밀번호와 포인트 적립카드 비밀번호가 동일한 사용자들의 예금액을 인출할 수 있었다.

경찰청 사이버안전국 관계자는 “단말기 해킹으로 신용카드 고객정보가 유출된 경우는 종종 있었으나 이번 사건은 포인트 카드 비밀번호로 신용카드 비밀번호를 유추할 만큼 치밀했다”며 “해커 박모 씨는 구속했으나 해킹 작업을 주도한 1명의 해커를 추적하고 있다”고 밝혔다.

이와 관련 익명의 보안전문가는 “미국, 영국, 중국, 캄보디아 등 외국에서 피해자들의 복제카드로 돈이 인출됐다는 점에서 해커 일당이 정보를 외국에 넘겼거나 국내에서의 추적을 피하기 위한 것으로 보인다”고 전했다.

한편 경찰은 이들이 범행에 이용한 서버를 회수하고 불법취득한 개인정보를 모두 삭제했다. 또한 금융감독원을 통해 개인정보가 유출된 피해자들에게 카드를 재발급 받을 수 있도록 통보한 상태다.

[김지언 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>