신한카드 불안? 해외결제 도용 이슈, 보안 취약(ft.금감원 점검 지시)

신한카드에서 내놓은 한 신용카드가 보안에 취약하다는 제보가 나왔다.

카드 번호가 허술하게 발급돼서 해킹을 하지 않더라도 다른 사람 카드 번호를 쉽게 유추할 수 있고 온라인 쇼핑에 악용될 수 있다는 것!

 

 

 

신한카드가 특정 카드의 고객 번호를 허술하게 발급했다는 제보

신용카드 번호는 금융 정보
앞 6자리는 카드사 고유번호, 나머지 뒷자리는 고객 고유번호 등으로 부여된다.
* 뒷자리로 고객을 식별하는 셈

 

발급 순서대로 번호를 매겼다는 건데, 사실이라면 비슷한 시기 발행된 카드는 유효기간이 같아집니다.

국내 온라인 쇼핑몰은 CVC나 비밀번호를 추가로 요구하지만, 아마존 같은 해외 사이트의 경우 카드번호와 유효기간만으로도 결제가 가능합니다.

 

 

실물 카드로 결제 시도

발급 순서대로 카드 번호가 부여된 걸로 의심되는 대목

실물 카드에 있는 번호를 제보자 주장대로 살짝 바꿔 전화 결제를 시도해보니
[전화 결제 ARS : 승인받으실 금액을 원 단위로 눌러주시고 입력이 끝나면…]

유효한 카드로 확인되면서, 결제 단계로 넘어가는 걸 확인할 수 있습니다.
실물 카드 번호에서 숫자를 1씩 높여나가자 계속 결제 단계로 넘어갑니다.

얼마 이상 높이자 유효한 번호가 아니라고 떴지만 유효기간을 한 달 늘리자 다시 결제가 가능해졌습니다.

 

 

● 뽐뿌에 올라온 댓글 중 하나

 

정리 해드릴께요

카드 번호는 16자리입니다 공개된정보

맨앞 7자리는 카드사 고정 입니다 공개된정보

발급년월 비공개정보

카드유효기간 비공개정보+공개정보

뒤에 9자리는 카드고개마다 다릅니다 비공개정보

 

자 여기서

9자리중 9번째 맨 마지막 숫자는 체크섬인데

코드고 로직이고 배우고 나발이고

마지막에 들어갈 번호가 16진수가요? 32진수가요?

한 256bit 쯤으로 암호화 된건가 보지요?

 

8자리외 9번째 들어갈수있는 수는 0부터9까지 10개 밖에 없습니다 10진수란 말입니다

로직?  여기서 로직이 왜나옵니까

 

 

카드사고유번호인 앞 7개는 고정이니 제외하고

뒤9자리중 8자리를 아무숫자나 씁니다

12345678 이라할께요

여기서 그 잘난 로직이 뭐가 됬던

 

123456780

123456781

. . . 

123456788

123456789

 

총 10개의 번호만 나올수있고

이 10개중 하나는 그 잘난 로직에 맞는 유효성을 만족하는 번호 입니다

하지만 그번호가 실재하는지 없는 번호인지는 별개의 문제이죠 하지만 실재 여부를 떠나서 로직을 만족하게 조합하는건

최대 10번의 시도만으로 알수있다는 겁니다

 

체크섬의 진법을 늘리지 안는한 공통사항입니다

그러면 누구나 존재 여부를 떠나서 유효한 카드번호를 알수있으니 아무나 도용할수있는거 아니냐?

근데 그게 아니죠

이렇게 유추한 카드번호중 실제 발급된 번호가 있을지라도 결재하려면 카드번호 외에 최소 카드발급 년월이 있어야합니다

정확히는 유효기간이겠지만 그건 발급년월을 알면 알수있는거니 이하 발급일자로 쓰겠습니다

 

자 여기서... 병신같은 신한이 체크섬빼고

8자리 고개번호를 난수 추출이 아니라 순서대로 발급했다는겁니다

 

예시 들어갑니다

내가 21년12월에

1234 1234 1234 1234 라는 카드를발급 했다칠께요

신한의 병신짓거리 때문에 나 다음 발급 받은 사람이 1234 1234 1234 124? 라는 번호를 가진다는것을 나는 압니다

마지막 ?에들어갈 숫자는 단 10개 뿐이고

내가 21년12월에 발급 받았으니 나 다음 사람은

21년12월 아니면 22년 1월 아니면 22년2월...

 

 

위정보로 내가 남의카드를 도용한다면

카드번호와 발급 년월만 알면 결재가능한

가맹점에서 내가 조합할 경우의 수는

10*1 or 2 or 3... 뿐입니다

 

실제론 여기서 2나 3까지 가지도 않죠

더모아가 12월 대거 발급되었고 단종됬으니

내 카드가 21년12월이면 나 다음 발급 밭은 사람의 카드는 무조건 21년12월에 발급 받은 카드 입니다

단 10번이면 뚫린다는 겁니다

 

 

금감원 '신한카드 보안 취약' 점검 지시

금감원은 "해외 부정사용에 노출될 위험이 있다"며 "신한카드에 카드번호 발급 체계를 개선하도록 하고 다른 카드사에도 자체 점검할 것을 지시했다"고 밝혔다.

 

아울러 해외 결제에 대해 이상거래탐지시스템(FDS) 감시를 강화하고, 부정사용 사례가 발생하면 적극적으로 보상하라고 지도했다.

 

 

■ 신한카드 공지

 

신한카드를 보유하고 계신 분이 있으시다면, 각별히 주의하셔야 할 것 같네요

금감원이 빠르게 점검지시하고 보상하라고 지도했기를 마련이지, 신한카드 피해자는 마음고생 좀 했을 것 같네요