• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[블랙햇 맛보기-2] 네가 신용카드 맛을 알아? 2014.07.24

신용카드 정보가 처리되는 전 과정 훑어 취약점과 강점 파악

새 보안 시스템에 대한 과대평가, 해커들에 대한 과소평가 꼬집어


[보안뉴스 문가용] 신용카드를 접점으로 보안 사고와 개인정보 유출 사고가 그 어느 때보다 빈번해지고 있는데도 신용카드가 어떤 시스템으로 운용되는지, 또 그 보호체계는 어떤 식으로 작동하는지 오해하고 있는 보안실무자들이 여전히 많다. 8월 초에 열릴 블랙햇의 한 강연에서 이런 오해들을 바로 잡고 왜 신용카드 보안이 강화되고 있음에도 여전히 도둑들에게 뻥뻥 뚫리고 있는지 알아볼 예정이다.

 

▲ 복잡한 카드 생태계, “그러니 공부를 해야지.”

 

“보안실무자들이 가장 크게 오해하고 있는 부분은 EMV가 가지고 있는 보안성인 것으로 보입니다. 너무 과대평가하고 있어요. 그와 맞물려 EMV를 뚫거나 우회하려는 해커들의 실력을 너무 얕보고 있기도 하고요. 또한 신용카드가 결제 처리되는 전 과정 중에 카드 정보가 몇 개의 시스템을 통과하며 그 중 어떤 부분이 취약한지도 정확히 모르고 있습니다.” 블랙햇에서 강연을 앞두고 있으며 포렌식 및 보안 전문 회사인 엑세스데이터(AccessData)의 방어 담당관인 루카스 재흐코프스키(Lucas Zaichkowsky) 씨의 설명이다.


재흐코프스키 씨는 특별히 이번 강연 중 EMV 칩에 대한 내용에 많은 시간을 할애할 예정이라고 밝혔다. EMV란 기존 자기 띠를 대체한 최신 보안 수단을 말하는 것으로 신용카드 관련 사이버 범죄를 낮추기 위해 최근 도입됐다.


“EMV가 무슨 구세주라도 된 것 마냥 이야기하고 있습니다. 하지만 사실 EMV의 주된 기능은 그저 카드 복제를 막는 것뿐입니다. EMV 카드를 POS 단말기로 긁으면 카드 번호와 카드 만료일, 사용자 이름을 평범한 텍스트로 전송합니다. 2번 트랙의 정보도 전자 띠 카드의 그것과 거의 동일합니다. 유일한 차이점은 세 자리로 된 CVV 코드가 추가되었다는 것 뿐이죠.”


그러나 이를 취약점의 개념으로 봐서는 안 된다는 것도 그는 강조했다. 그냥 설계 자체의 한계일 뿐이라는 것이다. 재흐코프스키 씨는 백엔드 차원에서 전자 띠와 EMV 방식의 차이 혹은 유사성을 보여주기 위해 강연 중에 라이브 데모를 선보일 예정이다.


“아무도 몰랐던 새로운 취약점을 발견했다고 말하려는 게 아닙니다. EMV에 대한 무한 신뢰를 조금 깨려는 것입니다. 이 강연을 듣고도 EMV에 대한 애정을 보일 수 있다면 그건 강연을 잘 이해하지 못했거나 EMV 시스템 도입으로 뭔가 이득을 취할 수 있는 입장에 있거나 둘 중 하나입니다. 그리고 이는 단순히 정보를 암호화하는 것으로 해결이 가능한 문제가 아닙니다.”


또한 재흐코프스키 씨는 USB 단자 카드 리더기로부터 POS 단말기를 지나 백엔드 매장 서버, 카드 회사 시스템과 HSM 모듈을 거쳐 마지막으로 은행에 이르기까지 정보가 어떻게 흐르는지 시각적으로 보여주기 위한 차트도 준비하고 있다. 카드정보와 돈의 유통에 대해 세세하게 보여줌으로써 보안실무자들이 잘 모르고 있는 취약점과 강점을 하나하나 알려주려는 것이다. “예를 들어 PIN 패드 기기는 정보를 매우 강력하게 암호화하는 기능을 갖추고 있고 키들이 매장에 저장되는 것이 아니라 카드 처리자가 가지고 있는 하드웨어 보안 모듈에 저장되므로 매장 입장에서는 굉장히 든든한 보안 장치지만 굉장히 많은 사람들이 이를 간과하고 있습니다.”


하지만 반대로 공격자가 이 카드처리자의 하드웨어 보안 모듈을 공격할 수 있게 된다면 그 매장과 거래를 하고 있는 모든 사람들의 PIN 정보가 넘어간다는 뜻도 된다. 그리고 실제 실력 있는 해커들이라면 이 점을 집중 공략한다는 것도 그는 강조했다. “이 점 역시 제가 강연을 통해 밝히고 싶은 부분입니다. 해커들의 실력이 만만치 않다는 것이죠.” 그는 실제 카드 정보유출 사고를 분석해 해커들의 실력을 정확하게 진단할 예정이다.


“범죄인들이 더 공부를 많이 하는 것도 같습니다. 이미 하드웨어 보안 모듈이 어떻게 설계가 되었는지도 이해하고 있을뿐 아니라 매뉴얼을 구해 꼼꼼히 공부해서 프로그래밍까지 해냅니다. 또한 POS 환경이 어떤 식으로 구축되어 있는지도 잘 알고 있죠. 정말 똑똑한 상대입니다. 그래서 더 무섭죠.”

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>