NFC 기술 탑재된 버스카드, 암호화 미흡·검증 없는 노출로 취약

극동대 김대협 씨, 구글 월렛 결제 단말기 해킹·사원증 도용 우려

[보안뉴스 김경애] 일상생활에서 편리하게 이용되는 충전식 버스 카드가 보안에 취약한 것으로 드러났다.

극동대학교 사이버안보학과에 재학중인 김대협 씨가 ‘RFID와 NFC 취약점을 이용한 충전식 버스카드 해킹 사례연구’에 따르면 NFC(Near Field Communication) 기술과 RFID(Radio-Frequency Identification) 기술의 취약점을 이용해 버스요금을 조작하고, 버스카드를 충전할 수 있는 것으로 나타났다.  

“NFC 기술은 일상생활에서 편리하게 많이 활용되고 있는 반면, 그만큼 보안 취약점이 많이 존재하죠. 이를테면 회사 사원증의 경우 NFC 통신을 통해 도용이 가능할 수 있고요. 미국에서 보고된 사례를 보면 후불식 버스카드나 구글 월렛의 결제 단말기를 악용해 해킹할 수 있는 등 여러 취약점이 존재해요.”

이는 NFC 기술로 작동하는 버스카드가 대개 충전식인데, 금액이 암호화되지 않았거나 검증되지 않은 상태로 노출돼 있어 변경이 가능하다는 게 김대협 씨의 설명이다.

“기존의 충전식 버스카드는 암호화가 되어 있지 않아 해커가 쉽게 조작할 수 있어 보안에 취약해요. 충전식 버스카드는 외부 장치가 RFID 태그에 읽기 쓰기 권한을 둘 다 가지고 있어야 해요. 추가적인 보안대책 없이는 취약할 수밖에 없다는 것이죠.”

NFC는 RFID 기술 중 하나로, 현재 이 두 기술은 우리 사회 다양한 분야에서 활발히 이용되고 있다. 버스카드를 비롯해 회사에서 개인을 증명할 수 있는 사원증, 그리고 결제 단말기나 새로 출시된 아이폰에 탑재되는 등 일상생활에서의 필수 요소기술로 활용되고 있는 셈이다.

이러한 폭넓은 사용분야는 시장규모에서도 짐작할 수 있다. 2002년 9억6천 달러였던 RFID 시장 규모는 2005년 40억 달러, 2010년 100억 달러 2015년 240억 달러에 달하는 등 매년 급성장하고 있다. 이로 인해 보안사고가 발생했을 경우 이에 따른 피해범위와 규모 또한 기하급수적으로 확대될 수 있다는 것.

데이터 보호에 대한 중요성이 더욱 강조되는 이 때 NFC 기술을 이용한 충전식 버스카드의 보안성에 빨간불이 들어온 셈이다. 더군다나 향후 사물인터넷(IoT) 시대의 보안문제가 일상생활에 매우 큰 영향을 미칠 수 있어 이번 취약점은 더욱 시사하는 바가  크다.

충전식 버스카드 해킹 방지를 위해 김대협 군은 버스카드 내부 또는 외부에 기존 값을 검증하는 단계에서 알고리즘을 구현하거나 데이터 정보를 암호화하는 등 보안을 더욱 강화해야 한다고 당부했다.

한편 이번 버스카드 취약점 사례 연구를 바탕으로 김대협 씨는 지난 12일 서울 한국과학기술회관에서 열린 ‘2014년 한국경영정보학회 추계학술대회’에서 우수논문상을 거머쥐며 연구의 우수성을 인정받았다.

향후 도전하고 싶은 연구분야로 하드웨어 해킹 분야를 지목한 김 씨는 “IoT가 활성화되고 있는 반면, 보안은 많이 취약한 편이라 이 측면을 앞으로 집중적으로 연구하고 도전해 나갈 것”이라며 포부를 밝혔다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>