[단독] 자판기 물건 공짜로? 전자화폐 결제 오류

자판기 주요 결제수단인 전자화폐 NFC 결제방법에 오류 발견
안드로이드 최신 운영체제 ‘킷캣(KitKat)’의 HCE 기능 악용시 위험

[보안뉴스 김태형] 최근 티머니·캐시비 등과 같은 교통카드로 편의점을 비롯해 지하철 등에 설치된 자판기에서 음료나 과자 등의 물건을 구매하고 간편하게 결제가 가능하다. 하지만 이러한 자판기에 결제를 인증하는 과정에서 오류가 발견됐다.

▲ 안드로이드 최신 운영체제 ‘킷캣(KitKat)’에 추가된 HCE 기능을 이용하면 자판기의 인증 취약점을 이용해 결제 없이물건을 구매할 수 있다.

이러한 취약점을 악용하면 자판기에 금액 결제 없이도 물건을 구매할 수 있다. 이번 취약점을 발견한 인제대 컴퓨터공학부 정보보호동아리 ‘돗가비’ 류상렬 씨는 “NFC 관련 공부를 하던 중 자판기의 전자화폐 단말기, 즉 교통카드로 결제하는 과정에서 카드와 자판기의 인증 확인을 정확하게 하지 않는 취약점을 발견했다”고 설명했다.

지하철 등에 많이 설치된 자판기의 경우 이용자가 자판기의 전자화폐 단말기에 교통카드를 대면 자판기는 카드 잔액을 읽어 들이고 이용자가 구매하고 싶은 제품 버튼을 누르면 결제가 되면서 물건이 나오게 된다. 그러나 이번에 발견된 취약점은 몇몇 자판기가 결제단계에서 카드를 잘못대거나 카드를 떨어뜨려 제대로 인식이 되지 않았는데도 정상적인 결제가 이루어지는 취약점이다.

해당 취약점에 대해 류상렬 씨는 지난 5월 21일 해당 업체에 통보한 후, 업체에서 문제를 진단하고 해결하는데 도움을 주었다. 카드와 자판기간 결제를 위한 메시지 전송 과정에서 이를 암호화하고 자판기에서는 이를 확인하고 결제해야 하는데, 이러한 오류로 인해 인증이 정상적이지 않아도 인증한 것처럼 인식하고 제품을 내보내는 것이다.

이와 같은 결제는 아주 빠른 시간, 즉 수 밀리초 이내로 이루어지기 때문에 사용자가 이를 컨트롤하기는 매우 어렵다. 하지만 현재 많은 사람들이 이용하고 있는 안드로이드 최신 운영체제인 ‘킷캣(KitKat)’에 추가된 ‘호스트 카드 에뮬레이션(HCE: Host-Card Emulation)’ 기능을 이용하면 손쉽게 이러한 상태를 만들어 스마트폰에 넣고 악용할 수 있다.

이와 같은 취약점으로 인해 발생하는 손해는 자판기 주인이나 관리업체가 고스란히 떠안아 자판기 업주들이 피해를 입게 되는 것이다. 현재 이러한 취약점은 해당 단말기 제조업체에 의해서 패치가 배포되고 있는 것으로 알려졌다.

특히, 류 씨는 “현재 NFC는 비접촉 커뮤니케이션을 사용하고 있다. HCE를 이용해 카드와 단말기의 통신을 중계하게 되면 카드와 단말기의 직접적인 접촉 없이 중간에서 2대의 안드로이드폰으로 모든 과정을 중계하고 그 통신내용을 캡처하거나 리플레이할 수 있음을 확인했다”고 덧붙였다.

즉 이용자의 티머니나 캐시비 같은 교통카드를 안드로이드폰의 특수한 애플리케이션을 이용해 중계하도록 등록하면 카드 접촉 없이 안드로이드폰으로 교통카드에 충전되어 있는 금액으로 자판기나 편의점에서 사용이 가능하다는 얘기다.

▲ HCE를 이용해 카드와 단말기의 직접적인 접촉 없이 중간에서 2대의 안드로이드폰으로 모든 과정을 중계하고 그 통신내용을 캡처해 리플레이 할 수 있음이 확인됐다.

이에 따라 다른 사람의 안드로이드폰으로 인터넷망을 이용해 통신내용을 중계할 경우 공간의 제약없이 타인의 카드로 결제가 가능하다는 것.

이는 NFC를 지원하는 모든 킷캣 기기에서 악용이 가능한 것으로 알려졌다. 이로 인해 누구나 안드로이드폰 2대로 손쉽게 다른 사람의 카드를 사용하거나 인증을 도용할 수 있다. 이를 계기로 NFC 결제방법을 활용하는 자판기 단말기 등에 대한 전체적인 취약점 점검이 필요하다는 의견이 제기되고 있다.

[김태형 기자(boan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)