[정보통신신문=박광하기자]

시민들의 주요 결제 수단인 신용카드 정보가 평균적으로 6초 만에 탈취될 수 있다는 연구 결과가 나왔다.

노드VPN(NordVPN)은 다크웹에서 정보가 유통 중인 400만개의 결제 카드 정보를 분석한 연구 결과, 결제 카드를 해킹하는 데 쓰이는 가장 일반적인 수법은 '무차별 대입'으로 이러한 유형의 해킹 공격은 속도가 매우 빠르며 단 몇초 만에도 암호가 풀릴 수 있다고 최근 경고했다.

NordVPN의 최고 기술 책임자인 마리유스 브리디스(Marijus Briedis)는 "다크웹에 이처럼 엄청난 수의 결제 카드가 유통되고 있는 이유는 무차별 대입을 통한 해킹의 확산이다. 해커는 기본적으로 사용자의 카드 번호와 CVV를 알아내려고 한다. 카드 번호의 처음 6~8자리는 카드 발급 기관의 ID 번호이고, 마지막 숫자는 체크섬이며 앞의 다른 숫자들을 입력할 때 실수가 있었는지 여부를 판단하는 데만 사용된다. 따라서 해커가 추측해야 하는 나머지 숫자는 실제로 7~9개 정도 밖에 되지 않는다. 숫자 대입에 컴퓨터를 사용하면 해킹 공격은 6초 내외로 성공한다"고 말했다.

무차별 대입 해킹에서 해커는 시행 착오 방식을 사용해 비밀번호, PIN, 결제 카드의 번호를 빠르게 알아낼 수 있다. 이런 작업에는 많은 노력이나 복잡한 알고리즘이 필요하지 않다. 이러한 공격을 실행하려면 약간의 시간, 고성능 컴퓨팅 장비, 범죄자가 사용하는 특수 유형의 소프트웨어(SW) 등 일부 리소스가 필요할 뿐이다.

마리유스 브리디스는 "전체 카드 번호를 갖는 데 필요한 9자리 숫자를 추측하려면 컴퓨터가 10억개의 조합을 거쳐야 한다. 시간당 약 250억개의 조합을 시도할 수 있는 일반적인 컴퓨터의 경우 이는 1분이면 끝나는 연산 작업이다. 그러나 카드 발급사에 따라 어떤 카드는 해커가 7개의 숫자만 정확히 추측해내면 공격이 끝나게 된다. 이 경우 해킹에 걸리는 시간은 단 6초면 충분하다"고 말했다.

대부분의 카드 발급사는 이 같은 공격을 방지하기 위해 시스템에서 시간 제한을 설정해 카드 번호를 여러 번 추측할 수 있는 기회를 차단하지만, 해커는 이를 우회할 방법을 찾아낼 수 있다. 예를 들어 마스터카드에는 중앙 집중식 인증 시스템이 있는데, 해커는 중앙 집중식 시스템이 공격 시도를 감지하기 전에 하나의 카드 번호를 약 10번 정도 추측할 수 있습니다. 그에 반해 비자 보안 시스템에서는 해커가 30~40번이나 그 이상의 추측을 시도할 수 있다. 해커가 바쁜 업무 시간에 공격을 실행할 경우 비자의 분산된 인증 시스템이 해커가 공격을 시도하는 것을 빨리 감지해내지 못하기 때문이다.

이는 다크웹에서 정보가 유통 중인 것으로 발견된 모든 결제 카드 중 절반 이상(252만4142개)이 비자 카드였다는 점, 그리고 마스터카드(160만2248개)와 아메리칸 익스프레스(21만5971개)가 그 뒤를 이었다는 사실과 관련이 있다.

일상에서 카드 사용을 완전히 자제하는 것 외에는 사용자가 이러한 위협으로부터 완전히 자신을 보호할 방법은 거의 없다는 게 문제다. 따라서 현실적으로 취할 수 있는 가장 중요한 보안 조치는 언제든 일어날 수 있는 해킹에 대해 경계 태세를 유지하는 것이라고 노드VPN은 설명했다.

마리유스 브리디스는 "의심스러운 활동이 있는지 매월 카드 사용 명세서를 검토해 확인하고, 카드가 승인되지 않은 방식으로 사용됐을 수 있다는 은행의 경고 알림에 신속하고 진지하게 대응하라"며 "또 다른 권장 사항은 각각의 목적을 위한 별도의 은행 계좌를 만들고 결제 카드가 연결된 계좌에는 소액의 돈만 보관하는 것이다. 일부 은행은 온라인 쇼핑 중에 안전하지 않다고 느낄 때 사용할 수 있는 임시 가상 카드도 제공한다"고 조언했다.

박광하 기자 다른기사 보기