• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[BLACKGUEST의 차이나리포트] ‘인증코드 탈취’ 모바일 결제 피해 눈덩이 2013.12.10

모바일 제3자 결제, ‘계정명+인증코드’만 알면 비밀번호 변경 가능


[보안뉴스=BLACKGUEST] 최근 중국의 많은 매체들이 사용자들이 휴대폰에서 사용하는 제3자 결제를 통해 사용자도 모르게 돈이 빠져나가는 등 모바일 결제 보안에 큰 취약점이 있다고 보도했다.


휴대폰에서 사용하는 제3자 결제에서 ‘계정명+인증코드’ 하나면 비밀번호 재설정이 가능하다는 것. 지난 11월 18일 한 중국매체는 한 보안전문가의 연구에 의해 이미 ‘인증코드’를 획득하는 바이러스가 발견됐다며 이 바이러스의 출현은 모바일 결제 보안에 큰 위협이 되고 있다고 보도했다. 즉 ‘인증 코드 강도’에게 많은 사용자들이 피해를 당하고 있다는 것.  

올해 5월, 킹소프트 안티 바이러스 프로그래머 리티에쮠은 음란 프로그램 하나를 발견했다. 이 프로그램은 자동으로 ‘휴대폰 인증코드’를 차단시키는데 처음에는 이해가 되지 않았다고 한다. 또 지난 10월에는 트로이목마 샘플이 점점 많아졌고 이는 이미 거의 재해 수준이 되고 있다는 설명이다.


리티에쮠은 이것이 ‘인증코드 강도’와 관련이 있다며 “나는 바이러스 데이터베이스에서 샘플을 통해 결과를 찾았는데, 20개의 트로이목마 제작자의 메일함을 발견했고 그 안에 대량의 인증코드를 훔친 기록이 있었다”면서 “이 트로이 목마가 문자메시지를 차단한 뒤, 그것을 바로 제작자 메일로 보낸다. 내용은 대부분 감염자의 신분증 번호, 휴대폰번호 등, 또 몇몇의 인증코드 기록”이라고 말했다.


지난 11월 초, 360에서는 몇몇의 비슷한 샘플을 발견했다고 밝혔다. 360의 한 프로그래머가 한 기자에게 “그것의 전파 방식은 2가지이다. 첫째는, 공인되지 않은 안드로이드 마켓을 통해서이고 둘째는 1:1 방식으로 직접 메시지를 발송하는 것이다. 자주 볼 수 있는 것은 타오바오 구매자에게 판매자가 발송한 것처럼 속여서 사진파일을 보내 다운로드를 유도하는 방식”이라고 말했다.


취약점은 제3자 결제를 지향한다. 이는 ‘비밀번호 변경’ 방법이 너무 쉽기 때문이다. 많은 사용자들은 단지 ‘인증코드’가 한번 차단되었을 뿐이라고 여긴다. 공격자는 어떻게 계정 안에 있는 돈을 옮길 수 있을까?


리티에쮠은 “우선 속이는 방식으로 사용자 계정명을 얻고, 다시 ‘비밀번호 찾기’를 통해 새로운 비밀번호로 변경한다. 현재 연구한 샘플 중 트로이목마가 비밀번호를 얻는 유일한 방식은 바로 비밀번호 찾기였다”라고 말했다.


이어서 그는 “대략적인 과정은 ‘타오바오 구매자’가 판매자에게 QR코드를 보내고 상대방이 스캔한 뒤 한 페이지를 띄운다. 그러면 ‘네트워크가 갑자기 중단되었습니다, 당신의 ID를 입력해 주십시오’라고 속인 후에, 구매자가  ‘비밀번호 찾기’를 누르고 ‘휴대폰 인증코드’를 발송해 확인하게 된다. 구매자는 트로이목마 때문에 메시지가 차단되어 자신의 메일로 보내지게 된다”라고 설명했다.


‘비밀번호 변경’은 항상 결제 보안의 핵심 고리였고 줄곧 은행에서 중요시 해왔다. PC상으로 결제할 때에는 은행에서 지급한 USB로 보안을 강화했지만, 현재 스마트폰이 유행함에 따라 좀더 간결화된 방식의 ‘빠른 결제’가 도입되고부터는 결제 시 USB가 필요 없고 대신에 ‘인증코드’만 있으면 되었다.

중국건설은행 모바일 단말기로 비밀번호를 변경해 보니, 비밀번호 변경에는 유효한 신분증 번호 및 모바일 뱅킹에 가입한 계정이 필요했고 은행의 카운터로 가서 관련 수속을 처리해야 했다. 하지만 제3자 결제에서 비밀번호 변경에서는 오직 ‘계정명+인증코드’만을 요구했다.


이는 트로이목마가 계정명을 획득하면 바로 비밀번호를 알아낼 수 있다는 것을 뜻한다. 모바일 바인딩 서비스가 도입된 후, 현재 대다수의 사용자는 은행계정과 휴대폰번호를 연동시켰다. 이는 계정 도난에 더 큰 위험을 초래했다.


즉, 신분증 번호가 필요 없으며, 오직 ‘계정명+인증코드’만 필요했다. ‘비밀번호 찾기’를 누른 후, 계정명만 입력한다. 그리고 ‘휴대폰 인증코드’를 선택하고 문자메시지를 받는다. 그 다음에는 새로운 비밀번호로 변경하는 것이다. 이 모든 과정이 2분이 채 걸리지 않았다.

[출처: PCHome(www.pchome.net/)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>