• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

온라인 지불 시스템, 사기꾼들의 수익을 낮춰라! 2019.12.30

모바일 활용한 결제 수단, 갈수록 다양해지고 수도 많아지고 있어
사기 공격 방어의 핵심은 공격자들의 수익을 최소화시키는 것

[보안뉴스 문가용 기자] 많은 소비자들이 이제 물건과 서비스에 대한 값을 스마트폰으로 지불하는 걸 선호한다. 여기에 맞춰 많은 도소매 업자들이 모바일 지불 시스템을 도입한다. 그러면서 각종 사기와 공격에 대한 위협도 늘어나고 있다. 특히 모바일 앱을 통해 매장 내 구매가 가능하도록 한 경우, CNP(card-not-present) 사기 공격에 주의해야 한다.

[이미지 = iclickart]


여기에 가상의 매장인 스무디 숍(Smoothie Shop)이 하나 있다고 생각해보자. 경영진은 모바일 앱을 통해 신용카드 정보를 저장할 수 있도록 시스템을 구축했고, 소비자들은 이를 통해 보다 편리한 매장 내 구매를 할 수 있게 된다. 사장님은 구매를 촉진하기 위해 이러한 모바일 앱을 마련했지만, 이 때문에 최소 세 개의 사기 공격에 노출된다는 결과를 낳았다.

1) 공격자가 현존하는 스무디 숍 계정을 장악한다. 계정들마다 신용카드 정보를 저장하고 있으므로, 공격자들은 이 계정 정보만 가지고 스무디 숍 매장에 걸어 들어가 모바일 앱을 활성화시키기만 하면 어떤 물건이라도 살 수 있게 된다.

2) 공격자가 현존하는 스무디 숍 계정을 다시 한 번 장악한다. 다만 이번에는 계정에 신용카드 정보가 저장되어 있지 않았다. 그래서 공격자는 다크웹이나 여러 악성 시장에서 신용카드 정보를 구매하고, 이를 스무디 숍 계정에 추가한다. 그런 후에는 가까운 스무디 숍 매장으로 가서 물건을 구매할 수 있게 된다.

왜 굳이 공격자들은 계정을 훔쳐내는 걸까? 왜 스무디 계정을 새로 하나 만들어서 공격을 하지 않는 걸까? 왜냐하면 3~6개월 정도 좋은 거래 이력을 유지한 계정은 의심은 덜 사기 때문이다. 새로 만들어진 계정들은 어느 서비스에서나 관리자들의 주시 대상이 된다.

3) 공격자들이 봇이나 사람을 고용해 가짜 스무디 숍 계정들을 수백개 만든다. 이렇게 해서 여러 개의 가짜 계정을 확보한 후에는 신용카드 정보를 무한정으로 추가할 수 있게 된다. 물론 이 신용카드 정보도 다크웹 등을 통해 구한 것들이다. 공격자들은 스무디 숍을 통해 여러 신용카드를 입맛대로 사용할 수 있게 된다.

이런 것에 대비해 스무디 숍의 사장은 무엇을 할 수 있을까?
1) 계정 탈취를 막는다 : 계정 탈취를 막는 방법에는 여러 가지가 있다. 그 중 하나가 크리덴셜 스터핑 가능성을 줄이는 것이다. 어떤 방법을 택하든 중요한 건, 계정 탈취로 인해 얻을 수 있는 경제적 이득을 제거하는 건데, 이는 공격 효율을 낮추는 것과 동일한 개념이다. 계정 탈취를 위해 공격자들이 투자할 것이 많아지면 많아질수록 공격 효율을 낮아진다.

2) 계정 생성 과정을 제어한다 : 봇이나 스크립트로 가짜 계정을 대량으로 생성하는 걸 막으려면 캡챠(captcha)를 쓰면 된다. 하지만 완벽한 방법은 아니다. 공격자가 어느 정도 실력만 돼도 이는 충분히 우회할 수 있고, 소비자들은 캡챠를 굉장히 싫어한다. 따라서 한 장비로 생성할 수 있는 계정 수를 제한할 것을 제안한다. 그렇다면 공격자들 입장에서 더 많은 장비를 구비해야 하고, 이는 공격 효율을 크게 떨어트린다.

3) 침해된 크리덴셜로는 로그인이 되지 않도록 한다 : 요즘은 데이터 침해나 유출 사고가 거의 매일 일어난다. 그런 때에 NIST가 여러 가지 권고 사항을 만들어 발표했는데, 그 중 하나가 침해된 크리덴셜로의 로그인을 금지하라는 것이었다. 훔친 크리덴셜 혹은 침해된 크리덴셜로 로그인을 시도할 때는 무언가 찜찜한 것이 있는 게 분명하다.

4) 모바일 앱을 통한 신용카드 남용에 대한 보호 장치를 마련한다 : 정상적인 고객이라면 계정이나 장비 당 하나나 두 개의 신용카드만 추가해 사용한다. 세 번째 카드를 더하려는 계정이나 장비부터는 감시나 모니터링이 이뤄져야 한다. 네 번째부터는 아예 추가를 금지하도록 하는 게 안전하다. 또한 신용카드 추가를 계정이 아니라 장비에 기반하도록 하는 게 낫다. 그래야 계정 탈취로 인해 신용카드 정보가 유출되는 걸 막을 수 있다.

글 : 카를로스 아순시온(Carlos Asuncion), Shape Security
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>