Home > 전체기사
비자의 비접촉식 카드에 있는 사기 방지 장치, 우회 가능
  |  입력 : 2019-08-01 11:27
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
영국의 5개 메이저 은행에서 실험해 성공...중간자 공격 통해 확인 절차 우회
비자가 거래 거부 상황 발생 시 필요한 확인 절차 요구하지 않기 때문에 가능


[보안뉴스 문가용 기자] 보안 업체 포지티브 테크놀로지스(Positive Technologies)의 보안 전문가들이 비자의 ‘비접촉식 카드’를 공격하는 방법을 발견했다. 이를 통해 비자에서 마련한 사기 방지 장치 일부를 우회하는 것이 가능해진다고 한다.

[이미지 = iclickart]


포지티브 측의 전문가인 레이앤 갤로웨이(Leigh-Anne Galloway)와 팀 유누소프(Tim Yunusov)는 자사 블로그를 통해 “(해당 공격 기법을) 영국에서 가장 큰 은행 다섯 군데를 대상으로 실험을 실시했다”고 밝혔다. “그 결과 사용되는 단말기에 상관없이 공격이 통한다는 걸 알아낼 수 있었고, 특정 국가만의 문제가 아니라는 것 또한 밝혀냈습니다.”

영국에서는 30파운드가 넘는 품목에 대한 거래 시 비접촉식 카드를 사용할 때 “할 수 없습니다”라는 메시지가 뜬다. 금융 사기가 발생할 경우 지나치게 큰 피해가 발생하는 걸 막기 위해서다. 그래도 거래를 진행하고 싶다면, 지불이 이뤄지고 있는 단말기를 통해 PIN이나 지문을 입력하는 등의 추가 인증 과정을 거쳐야 한다.

포지티브 테크놀로지스의 전문가들은 이 두 가지 단계(거절 메시지와 추가 인증)를 우회하는 방법을 찾아냈다고 주장했다. 중간자 공격을 실시할 수 있는 장비를 사용할 경우 지불 카드와 단말기 사이에서 발생하는 통신을 가로채는 게 가능하다는 내용이었다. “통신을 가로챈 후 주요한 데이터 값들을 조작하는 게 가능합니다.”

둘은 이 과정에 대해 다음과 같이 설명한다. “먼저 이 중간에 낀 장비가 카드에게 ‘인증은 필요하지 않다’는 메시지를 전달합니다. 30파운드가 넘는 거래 시에도 말이죠. 그리고 단말기에는 ‘인증은 이미 통과됐다’는 메시지를 전달합니다. 즉 중간에 끼어서 양쪽에 거짓말을 보내는 것이죠.”

이런 식의 공격이 가능한 건, “비자가 최소한의 인증 자료를 제출하지 않은 채 지불을 차단해야만 할 때 필요한 확인 절차를 수립하도록 카드 발행사와 카드 신청자 어느 쪽에도 요구하지 않기 때문”이라고 포지티브 테크놀로지스는 설명한다.

포지티브 테크놀로지스는 “이러한 공격 기법은 모바일 지갑 애플리케이션에도 통한다”고 경고했다. “지페이(GPay)와 같은 애플리케이션에 비자 카드 번호를 입력해서 사용할 때 특히 위험해질 수 있습니다. 이 경우 전화기가 잠긴 상태일 때라도 공격을 하는 게 가능합니다.”

3줄 요약
1. 비자 카드에서 사기 방지를 위해 마련한 보안 장치, 우회하는 것 가능.
2. 중간자 공격 실시하는 장비를 사용해 카드와 단말기의 통신을 방해하는 것이 핵심.
3. 모바일 지불 애플리케이션과 비자 카드 결합해 사용해도 위험해질 수 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)