220420_유명조달기업
'90억 개' 전 세계 신용카드가 위험하다
상태바
'90억 개' 전 세계 신용카드가 위험하다
  • 최형주 기자
  • 승인 2020.08.31 14:02
  • 댓글 0
이 기사를 공유합니다

신용카드 보안을 위한 국제 표준 'EMV'서 PIN 번호 확인 우회하는 취약점 발견
스위스 취리히 연방 공과대학교(사진: ethz.ch)
스위스 취리히 연방 공과대학교(사진: ethz.ch)

스위스 취리히 연방 공과대학교(ETH Zurich) 연구원들이 신용카드 보안을 위한 국제 표준인 EMV(Europay, MasterCard, Visa)에서 PIN 번호 확인 절차를 우회할 수 있는 취약점을 발견했다고 밝혔다.

EMV는 유로페이, 마스터카드, 비자카드 등 3개사가 공동으로 발표한 IC카드 표준 규격으로, 대부분의 신용·직불카드와 단말기 등에 적용돼 있다. 특히 현재 전 세계 90억 개 이상의 카드에 적용, 80% 이상의 카드 거래에 활용되는 글로벌 표준이다.

연구원들이 발표한 첫 번째 취약점은 카드의 PIN 번호를 몰라도 모바일을 통한 고액 결제가 가능하게 한다. 이를 보여주기 위해 연구원들은 특수 제작된 안드로이드 애플리케이션을 만들어 PIN번호 확인 우회를 증명했다.

특수 제작된 앱은 네트워크를 중간에서 조작하는 ‘중간자 공격’을 통해 단말기에 PIN 번호 확인이 이미 완료됐다는 신호를 보내 PIN 번호 확인을 우회한다. 연구원들은 비자 크레딧, 비자 일렉트론, 비자 페이(VPay) 등을 이용한 여러 거래에 이를 실험했고, 실제 단말기에서 성공적으로 결제가 이뤄지는 것을 확인했다.

두 번째 취약점은 오래된 비자 카드와 마스터카드가 애플리케이션 암호화 인증을 사용하지 않는다는 것을 이용한다. 만약 범죄자가 이를 악용할 경우 단말기는 인증되지 않은 오프라인 트랜잭션(카드 실물 결제)을 받아들여 부정결제가 가능해진다.

논문을 통해 연구원들은 실험에 실제 자신들이 사용하는 카드를 활용했다고 밝혔다. 연구 결과는 완화를 위한 조치 방법과 함께 은행, 비자카드 등 관련 조직에 곧바로 보고됐으며, 취약점 때문에 EMV 표준 자체를 수정할 필요는 없다고 덧붙였다.

연구원들은 또 “소비자들이 스마트폰을 이용해 카드 결제를 하는 것이 일반적”이라고 지적하며, “이 같은 취약점을 악용할 경우 실제 카드 이용자와 범죄자를 구분하기는 어렵다”고 EMV 표준 취약점 악용 공격에 대한 우려를 밝혔다.

 

*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성되었습니다.
 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.