'좀비 PC'에 당한 KB국민·BC카드 …'2억원 결제 사기'
KB국민카드와 BC카드가 PC에 악성코드를 심은 이른바 ‘좀비PC'에 당했다. 지난해 터진 기프트카드 해킹 사건에 이어 '기본적인' 인증장치도 마련해 놓지 않아 발생한 해킹 사고였다.
인터넷으로 환금성이 큰 상품권을 판매할 때는 휴대전화 개인인증절차가 필수적이지만 이를 선택 사항으로 둬 2억원을 털렸다.
20일 금융권에 따르면 KB국민카드와 BC카드는 지난해 12월 인터넷 쇼핑몰 사이트에서 총 2억원 규모의 불법 결제가 발생했다. 일부 결제 문자 서비스를 사용하는 고객들의 신고와 각 카드사의 FDS(이상금융거래탐지시스템)로 발견됐다.
카드 소유자가 피해를 신고한 건수는 국민카드가 48건, BC카드가 31건이다. 카드 소유자의 PC에 악성코드를 심어 카드정보와 공인인증서 비밀번호, 일반결제서비스(ISP)비밀번호 등 개인정보를 유출하는 ‘고전적인’ 방식이었다.
카드소유자의 PC가 악성코드가 심어진 '좀비 PC'가 되면 공인인증서는 해킹에 고스란히 노출된다. 이 때문에 공인인증서 이외에 휴대전화 본인인증인 2차 인증 서비스를 사용해야 한다.
그동안 타 카드사들은 환금성이 높은 상품권을 구매할 때 휴대전화와 공인인증서 두 가지로 본인확인을 거쳤지만 두 카드사는 소비자 편의를 위해서 휴대전화 인증을 필수가 아닌 선택으로 사항으로 했다.
KB국민카드와 BC카드는 사건 이후 휴대전화 인증 절차를 추가했다. BC카드 관계자는 "앞서 공인인증서와 휴대폰인증 방식을 뒀는데 공인인증서가 해킹 위험에 노출돼 있어 앞으로는 휴대폰 개인 인증만을 사용한다"고 말했다.
기본적인 인증절차를 마련하지 않아 소비자가 피해를 입은 사건은 지난해 12월에도 발생했다.
카드정보만 있으면 실물카드 없이도 온라인상에서 결제할 수 있는 기프트카드였다. 고스란히 범죄에 노출돼 있지만 카드사들은 기본적인 비밀번호 제한장치도 두지 않고 있다가 해킹 조직에 당했다.
대형신용카드사인 A사와 B사는 지난해 12월, 올해 1월 기프트카드 잔액조회 서비스에 횟수제한을 두지 않고 있다가 무작위로 번호를 돌리는 해킹프로그램에 카드 정보를 털렸다.
비밀번호 횟수제한이 없자 은행에서 구입한 기프트카드 정보를 통해 다른 기프트카드의 번호와 유효기간 등을 무작위로 입력한 것이다.
당시 카드사들은 기프트카드가 선물을 용도로 사용되는 경우가 많아 소비자 편의를 위해 비밀번호 횟수 제한을 두지 않았다고 설명했다.
이번에 터진 해킹 사고에서 카드사들은 쇼핑몰과의 정보 전달에 문제가 있었다고 해명했다.
KB국민카드 관계자는 "보통 게임사이트 등 온라인에서 상품권을 취급할 때 환금성있는 물품은 기본적으로 2,3중으로 본인인증이 들어가는데, 일부 대형사이트의 경우 상품권의 정보가 카드사로 넘어오지 않아서 추가 인증을 못한 것"이라고 말했다.
©(주) 데일리안 무단전재 및 재배포 금지
KB국민카드와 BC카드가 PC에 악성코드를 심은 이른바 ‘좀비PC'에 당했다.ⓒ데일리안
실시간 주요뉴스
![[트럼프 스트레스] 美 “다른 나라가 관세 협상하길 더 원해…결정은 우리가”](https://cdnimage.dailian.co.kr/news/icon/202504/news_1744945170_1487221_c.jpeg){kind=icon}
!['어차피 이재명', 재미없는 민주당 경선 [기자수첩-정치]](https://cdnimage.dailian.co.kr/news/icon/202504/news_1744897676_1487203_c.jpeg){kind=icon}