한 번 접근으로 ‘중간 기기’만 설치하면 가로채기 쉬워
암호화 되어 있으나 시스템 인증하지 않은 채 정보 보내기 때문

[보안뉴스 문가용] 일반적으로 사용되는 PIN 패드의 POS 간 통신 방식 때문에 지불카드 데이터를 훔치는 것이 매우 간단하다는 사실을 NCR의 보안 전문가인 니르 발트만(Nir Valtman)과 패트릭 왓슨(Patrick Watson)이 발견했다. POS 시뮬레이터가 돌아가는 랩톱과 특수 소프트웨어가 설치된 라즈베리 파이만으로 입증도 했다.


문제는 지불카드 리더기들이 통신 대상이 되는 시스템을 제대로 인증하지 않는다는 점에 기인한다. 카드를 PIN 패드 혹은 그밖에 다른 카드 리더기에 스와이핑을 할 때(긁을 때), 기기는 자기 띠나 마이크로 칩을 통해 데이터를 읽는다.

그 데이터는 POS 시스템으로 전송되는데, 리더기와 POS 시스템이 직접 연결이 되어 있다면 주로 이더넷 케이블이나 시리얼 포트가 사용된다. 지불 시스템이 온라인 상태라면 - 온라인 상태인 게 보통이다 - 해당 데이터는 다시 지불 프로세스가 진행되는 곳으로 전송된다. 오프라인 상태라면 카드 정보가 암호화 되어 지불 애플리케이션 서버에 저장된다.

이 기본 구조에서 공격자는 POS 시스템이 온라인이든 오프라인이든 상관없이 카드 리더기와 지불 애플리케이션 사이의 통신을 가로챌 수 있다. 필요한 건 심(shim)이 설치되어 있는 중간 기기로, 이번 입증에서 사용된 라즈베리 파이와 같은 것을 말한다.

공격의 원리는 다음과 같다. 현존하는 PIN 패드 기기들은 대부분 카드정보를 전송할 때 POS 시스템을 확인하지 않는다. 즉 PIN 패드는 자기가 전송하는 데이터가 도착하는 곳이 안전한 곳인지 아닌지 제대로 살피지 않는다는 것이다. 말 그대로 ‘기계적인 토스’만 하는 꼴.

그러니 누군가 POS 시스템과 PIN 패드 사이에 개입될 수 있는 장비를 하나 구해 연결만 하면 이 취약점을 악용하는 게 가능해진다. 게다가 PIN 패드와 POS 시스템 사이에 오가는 데이터는 대부분 암호화되어 있지 않다. 훔치는 것도 쉬운데, 훔칠 대상 자체에도 별다른 방비가 적용되어 있지 않은 것이다.

이 취약점은 자기 띠 방식이든 EMV 방식이든 구분 없이 적용이 가능하다. 자기 띠 방식보다 훨씬 안전하다고 알려진 EMV 방식으로서는 ‘모양이 빠지게’ 되었다.

문제는 중간자 공격을 감행할 기기를 설치하는 건데, 물리적인 접근이 있어야만 성립하는 것이기 때문에 약간 까다로운 부분이 될 수도 있다. 하지만 지불 애플리케이션 자체의 DLL을 살짝 조작함으로써 PIN 패드로부터 오는 데이터를 가로채는 것 또한 가능하다고 발트만과 왓슨은 설명한다.

이뿐 아니라 카드를 긁는 단계에서 이미 사용자들을 속여 카드정보 외에 더 많은 정보를 남기도록 하는 것도 가능하다고 한다. “PIN 패드에 입력되는 PIN 번호는 암호화가 됩니다. 하지만 PIN 패드 화면에 ‘PIN 번호를 다시 입력하시오’라는 화면 하나만 띄우면 암호화되지 않은 암호를 받을 수 있게 됩니다.”

물론 소비자가 보안을 잘 알고, 민감한 사람이라면 잘 통하지 않을 방법이긴 하지만, “그런 사람들이 몇이나 되나?” 현재 시장에 있는 PIN 패드와 카드 리더기들 대부분은 이런 공격에 매우 취약한 상태라고 볼트만과 왓슨은 강조했다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>