비자의 비접촉식 카드에 있는 사기 방지 장치, 우회 가능

영국의 5개 메이저 은행에서 실험해 성공...중간자 공격 통해 확인 절차 우회
비자가 거래 거부 상황 발생 시 필요한 확인 절차 요구하지 않기 때문에 가능

[보안뉴스 문가용 기자] 보안 업체 포지티브 테크놀로지스(Positive Technologies)의 보안 전문가들이 비자의 ‘비접촉식 카드’를 공격하는 방법을 발견했다. 이를 통해 비자에서 마련한 사기 방지 장치 일부를 우회하는 것이 가능해진다고 한다.

[이미지 = iclickart]

포지티브 측의 전문가인 레이앤 갤로웨이(Leigh-Anne Galloway)와 팀 유누소프(Tim Yunusov)는 자사 블로그를 통해 “(해당 공격 기법을) 영국에서 가장 큰 은행 다섯 군데를 대상으로 실험을 실시했다”고 밝혔다. “그 결과 사용되는 단말기에 상관없이 공격이 통한다는 걸 알아낼 수 있었고, 특정 국가만의 문제가 아니라는 것 또한 밝혀냈습니다.”

영국에서는 30파운드가 넘는 품목에 대한 거래 시 비접촉식 카드를 사용할 때 “할 수 없습니다”라는 메시지가 뜬다. 금융 사기가 발생할 경우 지나치게 큰 피해가 발생하는 걸 막기 위해서다. 그래도 거래를 진행하고 싶다면, 지불이 이뤄지고 있는 단말기를 통해 PIN이나 지문을 입력하는 등의 추가 인증 과정을 거쳐야 한다.

포지티브 테크놀로지스의 전문가들은 이 두 가지 단계(거절 메시지와 추가 인증)를 우회하는 방법을 찾아냈다고 주장했다. 중간자 공격을 실시할 수 있는 장비를 사용할 경우 지불 카드와 단말기 사이에서 발생하는 통신을 가로채는 게 가능하다는 내용이었다. “통신을 가로챈 후 주요한 데이터 값들을 조작하는 게 가능합니다.”

둘은 이 과정에 대해 다음과 같이 설명한다. “먼저 이 중간에 낀 장비가 카드에게 ‘인증은 필요하지 않다’는 메시지를 전달합니다. 30파운드가 넘는 거래 시에도 말이죠. 그리고 단말기에는 ‘인증은 이미 통과됐다’는 메시지를 전달합니다. 즉 중간에 끼어서 양쪽에 거짓말을 보내는 것이죠.”

이런 식의 공격이 가능한 건, “비자가 최소한의 인증 자료를 제출하지 않은 채 지불을 차단해야만 할 때 필요한 확인 절차를 수립하도록 카드 발행사와 카드 신청자 어느 쪽에도 요구하지 않기 때문”이라고 포지티브 테크놀로지스는 설명한다.

포지티브 테크놀로지스는 “이러한 공격 기법은 모바일 지갑 애플리케이션에도 통한다”고 경고했다. “지페이(GPay)와 같은 애플리케이션에 비자 카드 번호를 입력해서 사용할 때 특히 위험해질 수 있습니다. 이 경우 전화기가 잠긴 상태일 때라도 공격을 하는 게 가능합니다.”

3줄 요약
1. 비자 카드에서 사기 방지를 위해 마련한 보안 장치, 우회하는 것 가능.
2. 중간자 공격 실시하는 장비를 사용해 카드와 단말기의 통신을 방해하는 것이 핵심.
3. 모바일 지불 애플리케이션과 비자 카드 결합해 사용해도 위험해질 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)