카드 승인 내역 항상 확인…카드 결제 계좌에는 소액만 예치
[데이터넷] 무작위 숫자를 무차별 대입하는 방법으로 단 6초만에 결제카드를 해킹할 수 있다. 노드VPN이 140개국에서 400만 개의 결제 카드를 분석한 연구에 따르면, 결제카드 해킹에 가장 일반적으로 사용되는 무차별 대입을 사용했을 때 평균 6초 걸렸다고 설명했다.
이는 노드VPN이 사이버 보안 사고 전문 연구원과 협력해 다크웹에서 유통중인 450만여장의 신용카드와 체크카드 정보가 포함된 데이터베이스를 평가한 결과이다. 카드번호를 해킹하려면 대체로 16자리 번호와 CVV, 사용자가 설정한 비밀번호를 알아야 하는데, 카드의 처음 6~8자리는 카드 발급기관 ID, 16번째 숫자는 체크섬, 그 외 다른 숫자는 입력할 때 실수가 있는지 여부를 판단하는데 사용된다. 따라서 해커가 추측하는 숫자는 7~9개에 불과하다.
공격자는 고성능 컴퓨팅과 해킹 툴을 이용해 무차별 대입 방식으로 비밀번호, PIN 번호, 결제 카드 번호를 추측한다. 9자리 숫자를 추측하려면 컴퓨터가 10억개의 조합을 거쳐야 하는데, 일반 컴퓨터는 시간당 250억개의 조합을 시도할 수 있으므로 9자리 숫자 추측에 1분밖에 걸리지 않는다. 7자리 숫자만 알아도 된다면 6초면 충분하다는게 노드VPN의 설명이다.
대부분의 카드 발급사는 사용자가 몇 차례 번호 입력에 실패하면 일정 시간 동안 결제 시도를 차단한다. 그러나 이 방법도 무력화할 수 있다. 마스터카드는 중앙집중식 인증 시스템이 있는데, 해커는 이 시스템이 공격 시도를 감지하기 전에 하나의 카드 번호를 약 10번 정도 추측할 수 있다. 비자 보안 시스템에서는 해커가 30~40번 이상의 추측을 시도할 수 있습니다. 해커가 바쁜 업무 시간 중 적절한 때를 고르게 되면 비자의 분산된 인증 시스템이 해커가 공격을 시도하는 것을 빨리 감지해내지 못한다.
마리주스 브리디스(Marijus Briedis) 노드VPN 최고기술책임자는 “사용자가 신용카드 탈취 범죄에 피해를 입지 않으려면 카드 승인 내역을 항상 확인하며, 은행의 경고 알림에 신속하게 대응해야 한다. 결제 카드가 연결된 계좌에는 소액의 돈만 보관하는 것이 좋다. 일부 은행은 임시 가상 카드를 제공해 온라인 쇼핑 중 카드정보 해킹 사고를 차단하므로 서비스를 이용해 보는 것도 좋다”고 말했다.
