공격 조직이 공개한 마그네틱 카드 ‘트랙2’ 정보로 위조 카드 제작 가능해
위조 카드 통한 금융범죄는 과거에도 존재...IC 카드 필수 아닌 해외에서 악용할 수도
[보안뉴스 이상우 기자] 최근 이랜드그룹을 공격한 클롭(CLOP) 랜섬웨어 조직이 예고한 대로, 유출했다고 주장하는 신용카드 정보 10만건을 다크웹에 공개했다. 이들에 따르면 기업 네트워크를 통해 각 매장에 있는 POS 시스템에 악성코드를 유포했고, 이를 통해 오랜 기간 카드 정보를 유출할 수 있었다. 이와 관련 보안전문가는 약 1년전 해당 조직이 사용한 POS 악성코드를 분석한 결과 ISO 7811 표준의 트랙1, 트랙2 정보를 탈취한다고 설명했다.
[사진=utoimage]
ISO 7811은 플라스틱 카드의 마그네틱 띠(Magnetic Stripe, 이하 MS)에 각종 정보를 기록하는 방식에 관한 국제표준이다. MS는 우리 눈에 보이지 않는 세 가지 영역으로 구분돼 있으며, 이를 트랙1~트랙3으로 부른다. 각 트랙에는 자기장을 이용한 신호로 각종 정보를 기록하고, 카드를 단말기에 긁을 때 자기장을 인식해 결제에 이용한다.
트랙1에는 카드번호, 소유자 이름, 유효기간, 서비스 코드, 카드 인증 정보 등이 포함돼 있다. 가령 ‘%B카드번호^이름^유효기간^서비스코드 및 카드인증정보?’ 같은 식이다. 트랙2는 통신 환경이 열악한 상황에서 최소한의 정보만으로 결제할 수 있도록 더 간소화한 정보를 포함하고 있다. 내용은 카드번호, 유효기간, 서비스 코드, 카드 인정 정보 등이며, ‘;카드번호=유효기간=서비스코드 및 카드인증정보?’ 같은 방식으로 기록한다. 카드 인증 정보에는 비밀번호 확인 키, 비빌번호 확인 값, CVV 혹은 CVC 번호 등을 조합한 해시값이 포함돼 있다.
트랙1과 트랙2에는 카드 사용에 관한 모든 정보가 포함돼 있으며, 이를 통해 마그네틱 기반 위조 카드를 만드는 것이 가능하다. 만약 해당 정보를 가진 사람이 카드 비밀번호만 알아낸다면 위조 카드로 현금을 인출하거나 오프라인 매장에서 부정사용할 가능성도 충분하다. 실제로 트랙2 정보는 결제 승인을 즉시 얻을 수 있는 데이터이기 때문에 PCI 보안표준위원회에서는 이를 반드시 보호해야할 민감 신용카드 정보로 분류하고 있다.
▲트랙1에 기록되는 정보[표=한국정보통신기술협회]
실제로 지난 2013년에는 미국의 대형 유통업체인 타겟에서 POS 시스템 해킹으로 신용카드 정보가 유출되는 사고가 발생했다. 국내에서는 2014년 POS 단말기 해킹으로 유출한 카드 정보를 바탕으로 위조 카드 149장을 만들어 현금지급기에서 1억여 원을 인출한 일당이 검거되기도 했다. 이 사고의 경우 포인트카드 비밀번호와 카드 비밀번호를 동일하게 설정하는 사람이 많다는 맹점을 악용해 비밀번호를 알아내고, 실제 인출까지 이어진 사례다.
이러한 이유에서 국내에서는 지난 2018년 7월, 여신전문금융업법 개정에 따라 모든 카드 가맹점이 IC 신용카드를 우선적으로 사용하고 있다. 반도체 칩을 이용하는 IC 카드는 자체적인 논리 연산을 통해 가변적인 키를 생성하기 때문에 정보를 유출하거나 이를 이용한 복제가 상대적으로 어렵다. 다만, 해외에서는 여전히 마그네틱 카드를 사용하는 경우가 많으며, 국내에서도 이런 사례 때문에 해외에서 발급된 마그네틱 전용 카드를 일부 허용하는 경우도 있다.
그렇다면, 클롭 랜섬웨어 조직이 공개한 정보가 실제 유출한 국내 카드정보라고 가정했을 때, 어떤 피해가 발생할 수 있을까? 온라인 결제에는 카드번호, 유효기간, CVC 번호 등이 포함돼 있다. 앞서 언급한 것처럼 CVC 코드는 다른 인증정보와 함께 암호화된 상태로 MS에 기록돼 있기 때문에 이를 직접적으로 이용하는 것은 어렵다. 다만, 일부 결제 환경에 따라 CVC 코드를 요구하지 않는 온라인 결제도 있는 만큼 부정사용 가능성이 전혀 없는 것은 아니다.
이와 달리 위조한 플라스틱 카드를 오프라인 매장에서 사용할 가능성은 상대적으로 높다. 국내의 경우 여신금융업법 개정을 통해 IC 카드가 아니라면 사용하기 어려우며, 올해부터 마그네틱 카드를 이용한 대출은 전면 중단됐다. 반면, 해외에서는 여전히 마그네틱 카드를 이용하고 있다.
비접촉 결제 표준 협회 EMVCo에 따르면 2019년 7월부터 2020년 6월까지 1년간 IC 카드(EMV 카드)를 이용한 글로벌 결제는 83.1%며, 캐나다, 남미, 중동, 유럽 등 지역에서는 95%를 웃돈다. 이와 달리 미국 67.84%, 아시아 78.48% 등으로 나타나 여전히 마그네틱 카드를 많이 사용하는 것으로 조사됐다. 클롭 랜섬웨어 조직이 공개한 카드정보가 실제 유출정보라면, 이 정보를 ‘공카드’에 기록해 위조 카드를 만들고, 마그네틱 카드를 사용할 수 있는 일부 국가에서 이를 악용할 수 있는 상황이다.
▲지역별 IC 카드 사용 현황[자료=EMVCo]
사실 위조된 카드는 상당히 조악하다. 카드사에서 정상적으로 발급한 카드는 양각으로 이름 및 카드번호를 새기고, 홀로그램 스티커를 붙이는 등의 조치를 한다. 반면, 위조 카드에는 이런 것이 전혀 없어 매장에서 의심하고 결제를 거부할 수도 있다. 하지만 해당 위조 카드를 건네받은 점원이 특별한 의심 없이 카드를 긁을 수 있고, 아예 위조한 사기꾼과 오프라인 매장이 결탁해 카드를 부정사용할 가능성도 충분히 있다.
혹시라도 발생할 수 있는 피해에 대응하기 위해 유출이 의심되는 일반 사용자는 카드 해외 사용을 일시적으로 차단하는 것이좋다. 해외 결제에 대한 피해 보상은 국제 카드사 규약을 적용하는 만큼, 기준이 까다롭고 오랜 시간이 걸리기 때문에 예방이 최선이다.
[이상우 기자(boan@boannews.com)]
위조 카드 통한 금융범죄는 과거에도 존재...IC 카드 필수 아닌 해외에서 악용할 수도
[보안뉴스 이상우 기자] 최근 이랜드그룹을 공격한 클롭(CLOP) 랜섬웨어 조직이 예고한 대로, 유출했다고 주장하는 신용카드 정보 10만건을 다크웹에 공개했다. 이들에 따르면 기업 네트워크를 통해 각 매장에 있는 POS 시스템에 악성코드를 유포했고, 이를 통해 오랜 기간 카드 정보를 유출할 수 있었다. 이와 관련 보안전문가는 약 1년전 해당 조직이 사용한 POS 악성코드를 분석한 결과 ISO 7811 표준의 트랙1, 트랙2 정보를 탈취한다고 설명했다.
[사진=utoimage]
ISO 7811은 플라스틱 카드의 마그네틱 띠(Magnetic Stripe, 이하 MS)에 각종 정보를 기록하는 방식에 관한 국제표준이다. MS는 우리 눈에 보이지 않는 세 가지 영역으로 구분돼 있으며, 이를 트랙1~트랙3으로 부른다. 각 트랙에는 자기장을 이용한 신호로 각종 정보를 기록하고, 카드를 단말기에 긁을 때 자기장을 인식해 결제에 이용한다.
트랙1에는 카드번호, 소유자 이름, 유효기간, 서비스 코드, 카드 인증 정보 등이 포함돼 있다. 가령 ‘%B카드번호^이름^유효기간^서비스코드 및 카드인증정보?’ 같은 식이다. 트랙2는 통신 환경이 열악한 상황에서 최소한의 정보만으로 결제할 수 있도록 더 간소화한 정보를 포함하고 있다. 내용은 카드번호, 유효기간, 서비스 코드, 카드 인정 정보 등이며, ‘;카드번호=유효기간=서비스코드 및 카드인증정보?’ 같은 방식으로 기록한다. 카드 인증 정보에는 비밀번호 확인 키, 비빌번호 확인 값, CVV 혹은 CVC 번호 등을 조합한 해시값이 포함돼 있다.
트랙1과 트랙2에는 카드 사용에 관한 모든 정보가 포함돼 있으며, 이를 통해 마그네틱 기반 위조 카드를 만드는 것이 가능하다. 만약 해당 정보를 가진 사람이 카드 비밀번호만 알아낸다면 위조 카드로 현금을 인출하거나 오프라인 매장에서 부정사용할 가능성도 충분하다. 실제로 트랙2 정보는 결제 승인을 즉시 얻을 수 있는 데이터이기 때문에 PCI 보안표준위원회에서는 이를 반드시 보호해야할 민감 신용카드 정보로 분류하고 있다.
▲트랙1에 기록되는 정보[표=한국정보통신기술협회]
실제로 지난 2013년에는 미국의 대형 유통업체인 타겟에서 POS 시스템 해킹으로 신용카드 정보가 유출되는 사고가 발생했다. 국내에서는 2014년 POS 단말기 해킹으로 유출한 카드 정보를 바탕으로 위조 카드 149장을 만들어 현금지급기에서 1억여 원을 인출한 일당이 검거되기도 했다. 이 사고의 경우 포인트카드 비밀번호와 카드 비밀번호를 동일하게 설정하는 사람이 많다는 맹점을 악용해 비밀번호를 알아내고, 실제 인출까지 이어진 사례다.
이러한 이유에서 국내에서는 지난 2018년 7월, 여신전문금융업법 개정에 따라 모든 카드 가맹점이 IC 신용카드를 우선적으로 사용하고 있다. 반도체 칩을 이용하는 IC 카드는 자체적인 논리 연산을 통해 가변적인 키를 생성하기 때문에 정보를 유출하거나 이를 이용한 복제가 상대적으로 어렵다. 다만, 해외에서는 여전히 마그네틱 카드를 사용하는 경우가 많으며, 국내에서도 이런 사례 때문에 해외에서 발급된 마그네틱 전용 카드를 일부 허용하는 경우도 있다.
그렇다면, 클롭 랜섬웨어 조직이 공개한 정보가 실제 유출한 국내 카드정보라고 가정했을 때, 어떤 피해가 발생할 수 있을까? 온라인 결제에는 카드번호, 유효기간, CVC 번호 등이 포함돼 있다. 앞서 언급한 것처럼 CVC 코드는 다른 인증정보와 함께 암호화된 상태로 MS에 기록돼 있기 때문에 이를 직접적으로 이용하는 것은 어렵다. 다만, 일부 결제 환경에 따라 CVC 코드를 요구하지 않는 온라인 결제도 있는 만큼 부정사용 가능성이 전혀 없는 것은 아니다.
이와 달리 위조한 플라스틱 카드를 오프라인 매장에서 사용할 가능성은 상대적으로 높다. 국내의 경우 여신금융업법 개정을 통해 IC 카드가 아니라면 사용하기 어려우며, 올해부터 마그네틱 카드를 이용한 대출은 전면 중단됐다. 반면, 해외에서는 여전히 마그네틱 카드를 이용하고 있다.
비접촉 결제 표준 협회 EMVCo에 따르면 2019년 7월부터 2020년 6월까지 1년간 IC 카드(EMV 카드)를 이용한 글로벌 결제는 83.1%며, 캐나다, 남미, 중동, 유럽 등 지역에서는 95%를 웃돈다. 이와 달리 미국 67.84%, 아시아 78.48% 등으로 나타나 여전히 마그네틱 카드를 많이 사용하는 것으로 조사됐다. 클롭 랜섬웨어 조직이 공개한 카드정보가 실제 유출정보라면, 이 정보를 ‘공카드’에 기록해 위조 카드를 만들고, 마그네틱 카드를 사용할 수 있는 일부 국가에서 이를 악용할 수 있는 상황이다.
▲지역별 IC 카드 사용 현황[자료=EMVCo]
사실 위조된 카드는 상당히 조악하다. 카드사에서 정상적으로 발급한 카드는 양각으로 이름 및 카드번호를 새기고, 홀로그램 스티커를 붙이는 등의 조치를 한다. 반면, 위조 카드에는 이런 것이 전혀 없어 매장에서 의심하고 결제를 거부할 수도 있다. 하지만 해당 위조 카드를 건네받은 점원이 특별한 의심 없이 카드를 긁을 수 있고, 아예 위조한 사기꾼과 오프라인 매장이 결탁해 카드를 부정사용할 가능성도 충분히 있다.
혹시라도 발생할 수 있는 피해에 대응하기 위해 유출이 의심되는 일반 사용자는 카드 해외 사용을 일시적으로 차단하는 것이좋다. 해외 결제에 대한 피해 보상은 국제 카드사 규약을 적용하는 만큼, 기준이 까다롭고 오랜 시간이 걸리기 때문에 예방이 최선이다.
[이상우 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
