2016년 8월 8일 월요일

삼성페이 취약점 발견? 카드 정보를 훔칠 수 있다!

삼성페이 취약점 발견? 카드 정보를 훔칠 수 있다!

삼성전자 간편결제 플랫폼인 삼성페이(Samsung Pay)의 보안이 취약하다는 소식이 전해졌습니다. 무선으로 신용카드 정보를 쉽게 탈취해서 사용할 수 있다라는 내용인데요. 정말 심각한 문제일지 내용을 정리해봤습니다.

삼성페이가 허술하다?

라스베이거스에서 열리고 있는 블랙햇 보안컨퍼런스에 참석한 한 보안 연구원은 삼성페이 카드 정보를 탈취해서 이를 다른 마그네틱 기기로 결제하는 영상을 공개했습니다. 그리고 탈취한 이 정보를 다른 사람과 공유해서 삼성페이 서비스를 하고 있지 않은 전혀 다른 지역에서 결제하는 영상을 공개하기도 했습니다.

내용을 봐서는 정말 심각한 문제입니다.

정말 큰 문제일까?

큰 문제라면 문제일 수 있습니다. 하지만 더 정확하게 말하면 삼성페이의 문제라기보다는 마그네틱 방식에 대한 문제 그리고 일부 금융사의 문제라 할 수 있습니다.

왜 그런지 우선 삼성페이 서비스에 대해 간단히 소개하겠습니다. 삼성페이는 삼성전자가 인수한 미국 모바일 결제 업체 '루프페이'의 MST(Magnetic Secure Transmission, 마그네틱 보안전송) 기술을 적용했습니다. 여기에 NFC 방식도 함께 지원하는 결제 방식입니다.

현재 삼성페이가 큰 호평과 함께 많은 사용자를 이끌어낼 수 있었던 이유는 바로 마그네틱 방식을 사용할 수 있기 때문입니다. 일반 신용/체크 카드를 사용하듯 이른바 카드를 긁는 카드 단말기 부분에 스마트폰을 가져가면 손쉽게 결제가 되는 방식입니다. 요즘같이 지갑은 두고다녀도 폰은 항상 가지고 다니는 사용패턴에 맞춰 스마트폰만 있으면 거의 모든 곳에서 결제가 가능해졌습니다.

하지만 이 MST 방식은 보안이 취약하다는 단점이 있습니다. 카드 정보를 자기장을 이용 전달하는 방식으로 결제에 필요한 정보를 암호화 없이 전달하기에 전송 과정에서 그대로 노출된다는 문제가 있습니다. 그래서 복제가 간단합니다. 카드를 불법 카드 복제기에 인식시키기만 하면 아주 간단히 복제할 수 있습니다. 이렇게 복제된 카드는 어디서든 마음껏 사용할 수 있습니다. 이런 마그네틱 방식의 보안 문제로 점점 IC카드로 이전을 장려하고 있는 상황입니다.

이렇게 보안에 문제가 있는 마그네틱 방식을 사용하는 삼성페이의 경우 당연히 이에 대한 문제점을 알고 있었고 이를 보안하기 위해 '토큰 + cryptogram' 방식을 적용하게 됩니다. 쉽게 말해 카지노 칩을 떠올리면 됩니다. 카지노에서 임시로 현금을 칩으로 교환해 사용하듯 삼성페이 역시 결제 할때마다 실제 카드 정보가 아닌 가상의 카드 정보를 생성합니다. 이게 바로 토큰입니다.

칩을 가지고 나가도 다른 곳에서 사용할 수 없는 것처럼 토큰이 유출된다 하더라도 가상의 정보이기에 도용될 가능성이 줄어듭니다. 그리고 여기에 지문, 홍채 등 인증하는 순간 매 회 새롭게 생성되는 cryptogram이 발급되어 토큰과 cryptogram이 카드 기기로 전달되는 방식입니다.

그렇다면 뭐가 문제지?

보안연구원이 제기한 문제를 발생시키기 위해서는 여러가지 조건이 필요합니다. 우선 인증을 통해 토큰 +  cryptogram를 발급한 후 결제를 하지 않은 상황이 필요합니다. 그리고 유효 인증 시간이 30초가 아닌 그 이상의 시간을 제공하는 카드사가 필요합니다.

다시 정리해보죠. 여기서 가장 크게 문제가 되는건 바로 유효 인증시간입니다. 삼성페이 토큰 유효 인증시간은 금융사마다 약간씩 차이가 있는데 국내 금융사 및 해외 대부분의 금융사는 30초의 인증시간을 제공합니다. 30초에서 단 1초만 넘어가도 이 토큰 정보는 폐기됩니다. 즉, 해킹을 해도 사용할 수 없게 되는 것입니다. 물론 30초내에 해킹하고 암호를 풀고 해당 정보를 빼내서 결제까지 할 수 있다면 이것 역시 문제가 될 수 있지만 현실적으로 불가능한 시간입니다.

하지만 일부 해외 금융사의 경우 24시간의 인증시간을 주는 경우가 있습니다. 이 경우 문제가 될 수 있습니다. 생성된 토큰이 결제와 함께 소멸되면 문제가 되지 않지만 토큰 생성 후 결제를 해버리지 않았는데 이 토큰이 24시간동안 살아있다면 해킹을 통해 유출되고 이를 통해 다른 사람이 결제를 할 수 있게 되는 것입니다.

정리하면 이렇습니다.

마그네틱 방식의 취약점을 알고 삼성은 삼성페이 서비스를 내놓으면서 토큰 + cryptogram 방식을 적용했고 여기에 Knox를 통해 해킹이나 루킹등의 여부를 실시간으로 검사해서 문제 발생시 삼성페이를 사용할 수 없도록 시스템을 만들어놓았습니다.

하지만 금융사가 토큰 유효시간을 30초 이상으로 보안정책을 마련함으로써 문제가 발생할 수 있는 여지를 제공하고 있는 것입니다. 참고로 해당 금융사가 편의성 혹은 사용성을 위해 24시간 유효한 보안정책을 유지하는 대신 이를 통해 발생할 수 있는 리스크를 해킹관련 보험 등 사후처리를 통해 해결하는 것으로 현재 진행하고 있다라고 합니다.

즉, 이슈 발생시 책임은 삼성페이가 아닌 금융사에서 진다라는 점입니다. 하지만 국내의 경우 거의 모든 금융사가 30초로 제한하고 있습니다.

안심하고 사용하세요.

삼성페이를 사용하고 있는 유저입장에서 이번 소식으로 인해 불안해하지 않을까 하는 생각에 한번 정리를 해봤습니다. 물론 삼성페이가 마그네틱 방식을 사용하는 이상 절대 안전하지는 않습니다. 하지만 해킹이 되고 내 결제정보가 여기저기 사용될 확률은 거의 없다고 보시면 됩니다. 만약 이게 걱정이 된다면 현재 지갑에 있는 마그네틱 방식의 카드는 모두 버려야 합니다. 오히려 더 보안에 취약하니까 말이죠.

그러니 너무 걱정말고 마음 편히 사용하세요.


PCP인사이드 인기 글 보러가기

저작자 표시 비영리 변경 금지


from PCPINSIDE(세상을 보는 또 다른 눈) http://ift.tt/2aHWZ3R