Home > 전체기사
비자의 비접촉식 카드에 있는 사기 방지 장치, 우회 가능
  |  입력 : 2019-08-01 11:27
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
영국의 5개 메이저 은행에서 실험해 성공...중간자 공격 통해 확인 절차 우회
비자가 거래 거부 상황 발생 시 필요한 확인 절차 요구하지 않기 때문에 가능


[보안뉴스 문가용 기자] 보안 업체 포지티브 테크놀로지스(Positive Technologies)의 보안 전문가들이 비자의 ‘비접촉식 카드’를 공격하는 방법을 발견했다. 이를 통해 비자에서 마련한 사기 방지 장치 일부를 우회하는 것이 가능해진다고 한다.

[이미지 = iclickart]


포지티브 측의 전문가인 레이앤 갤로웨이(Leigh-Anne Galloway)와 팀 유누소프(Tim Yunusov)는 자사 블로그를 통해 “(해당 공격 기법을) 영국에서 가장 큰 은행 다섯 군데를 대상으로 실험을 실시했다”고 밝혔다. “그 결과 사용되는 단말기에 상관없이 공격이 통한다는 걸 알아낼 수 있었고, 특정 국가만의 문제가 아니라는 것 또한 밝혀냈습니다.”

영국에서는 30파운드가 넘는 품목에 대한 거래 시 비접촉식 카드를 사용할 때 “할 수 없습니다”라는 메시지가 뜬다. 금융 사기가 발생할 경우 지나치게 큰 피해가 발생하는 걸 막기 위해서다. 그래도 거래를 진행하고 싶다면, 지불이 이뤄지고 있는 단말기를 통해 PIN이나 지문을 입력하는 등의 추가 인증 과정을 거쳐야 한다.

포지티브 테크놀로지스의 전문가들은 이 두 가지 단계(거절 메시지와 추가 인증)를 우회하는 방법을 찾아냈다고 주장했다. 중간자 공격을 실시할 수 있는 장비를 사용할 경우 지불 카드와 단말기 사이에서 발생하는 통신을 가로채는 게 가능하다는 내용이었다. “통신을 가로챈 후 주요한 데이터 값들을 조작하는 게 가능합니다.”

둘은 이 과정에 대해 다음과 같이 설명한다. “먼저 이 중간에 낀 장비가 카드에게 ‘인증은 필요하지 않다’는 메시지를 전달합니다. 30파운드가 넘는 거래 시에도 말이죠. 그리고 단말기에는 ‘인증은 이미 통과됐다’는 메시지를 전달합니다. 즉 중간에 끼어서 양쪽에 거짓말을 보내는 것이죠.”

이런 식의 공격이 가능한 건, “비자가 최소한의 인증 자료를 제출하지 않은 채 지불을 차단해야만 할 때 필요한 확인 절차를 수립하도록 카드 발행사와 카드 신청자 어느 쪽에도 요구하지 않기 때문”이라고 포지티브 테크놀로지스는 설명한다.

포지티브 테크놀로지스는 “이러한 공격 기법은 모바일 지갑 애플리케이션에도 통한다”고 경고했다. “지페이(GPay)와 같은 애플리케이션에 비자 카드 번호를 입력해서 사용할 때 특히 위험해질 수 있습니다. 이 경우 전화기가 잠긴 상태일 때라도 공격을 하는 게 가능합니다.”

3줄 요약
1. 비자 카드에서 사기 방지를 위해 마련한 보안 장치, 우회하는 것 가능.
2. 중간자 공격 실시하는 장비를 사용해 카드와 단말기의 통신을 방해하는 것이 핵심.
3. 모바일 지불 애플리케이션과 비자 카드 결합해 사용해도 위험해질 수 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상