[보안뉴스 문가용 기자] 흔히 ‘해커’나 사이버 범죄자들을 떠올릴 때 우리는 그들의 현란한 ‘해킹력’ 혹은 IT 관련 지식을 먼저 생각한다. 틀린 건 아니다. 하지만 정작 해커들이 가장 고심하는 건 더 나은 기술의 습득이나 ‘해킹력’의 향상이 아니다. 자신들이 부린 각종 기술들을 ‘현금’으로 만드는 것, 즉 ‘현금화’가 가장 큰 골칫거리다. 불법 자금을 추적하는 체계가 너무나 발전해 있기 때문에 이를 따돌리고 자신의 지갑 안에 돈을 안착시키는 게 생각보다 어렵기 때문이다.
[이미지 = gettyimagesbank]
금융 기관들도 이것을 잘 알고 있고, 그래서 해커들의 현금화 수법에 대한 관심이 깊다. 공격자들 사이에서 유행하는 기술을 파악하면 역으로 자신들의 고객을 좀 더 잘 보호할 수 있게 된다는 것도 금융 기관들은 잘 알고 있다. 그래서 이 분야에서는 항상 공격자와 금융 기관 사이에서 술래잡기와 같은 일들이 벌어진다. 공격자들은 늘 새로운 전략, 새로운 인물, 새로운 통로를 찾고, 방어자들은 이 새로운 것들을 조금이라도 빨리 알아내려고 한다.
다크웹의 소문과 기존 카드 사기 결제 방법
쓰레트패브릭의 연구 팀원들은 다크웹 게시글을 확인하다가 “애플 페이와 구글 페이에 연결된 카드를 NFC 트래픽 중계 방식으로 침해하여 사용할 수 있다”는 주장을 발견하면서 이 연구를 시작했다고 한다. 이 게시글에 동조하는 댓글들이 여럿 달렸고, 후기를 제공하는 사람들도 있었다. “게시글의 내용들을 종합하면 휴대폰에 내장된 NFC 리더를 사용하면 이런 카드를 공격자가 악용할 수 있는 것처럼 보였습니다.”
그래서 더 깊이 연구를 진행했을 때 연구원들은 각종 모바일 결제 시스템(예 : 애플 페이, 구글 페이 등)과 연동된 신용카드의 정보를 확보하기만 하면 범죄 활동으로 벌어들인 수익을 현금화 할 수 있게 된다는 것을 알게 됐다.
원래 신용카드나 모바일 결제 시스템을 악용하는 방법은 대체로 ‘피해자의 신용카드를 범인의 장비에 연동시키고 구글 페이나 애플 페이 등에 등록시키는 것’이었다. 이렇게 함으로써 범인은 자신의 장비를 들고다니며 피해자의 돈을 쓸 수 있게 된다. “보통은 모바일 뱅킹 멀웨어로 피해자의 기기를 감염시켜 크리덴셜 및 신용카드 정보를 빼낸 뒤, 이를 활용해 자신의 기기에 피해자의 카드를 등록시키거나, 피싱 웹사이트를 이용해 비슷한 공격을 실시하는 식이었습니다.”
하지만 이 방법에는 중요한 결점이 몇 가지 있었다. 도난 당한 카드와 연계된 장비를 직접 사용하는 것 자체로 추적의 가능성이 높다는 것이 그 중 하나인데, 카드 소유자가 분실 신고만 하면 경찰은 이런 장비를 쉽게 찾아낼 수 있다(대부분 국가에서). 심지어 카드 소유자가 신고를 하지 않더라도 카드 발급사가 수상함을 눈치채고 조치를 취하는 경우도 점점 많아지고 있다. 그래서 이렇게 카드를 직접 훔쳐 자신의 장비에 등록시키는 직접적인 방법을 사용하는 사례는 그리 많지 않다.
고스트탭
공격자들에게 필요한 건 자신의 신원을 가리면서 피해자의 카드를 마음껏 결제할 수 있는 방법이었다. 그 와중에 나온 것이 고스트탭이라고 할 수 있다. “고스트탭은 오픈소스 도구인 NFC게이트(NFCGate)를 활용하는 것을 핵심으로 합니다. NFC게이트는 TU다름슈타트 대학에서 연구를 목적으로 개발한 도구로, NFC 트래픽을 중계하는 기능을 가지고 있습니다. 하지만 공격자들이 이 도구를 확보한 후, 이를 바탕으로 NF스케이트(NFSkate)라는 악성 코드를 개발하기도 했다.
“즉 NFC게이트라는 합법적인 연구 도구가 범죄자들에 의해 악용되는 게 대단히 특별한 일은 아니라는 겁니다. 이번 사건도 그런 과거의 행위들을 응용한 것이라고 할 수 있습니다. 공격자는 NFC게이트를 사용해 침해된 카드가 등록된 기기와, 매장의 PoS 단말기 간 NFC 트래픽을 중계하여 자신의 신원을 감추면서 물건을 결제할 수 있고, 그러면서 현금화에 성공할 수 있게 됩니다. 카드의 원래 주인이 물리적으로 다른 나라에 있다고 하더라도 짧은 기간 동안에는 그 카드를 마음껏 사용할 수 있고, 범인은 정체를 완전히 숨길 수 있게 됩니다.”
이 공격을 실시하기 위해서는 몇 가지 준비물이 필요하다고 쓰레트패브릭은 설명한다.
1) NFC를 지원하는 모바일 기기(피해자의 신용카드가 등록되어 있어야 한다)
2) NFC게이트가 설치된 두 개의 기기
3) 트래픽을 중계할 서버
이 장비들을 사용하고 운영하는 건 비용면에서나 기술의 측면에서나 크게 부담될 것이 없다고 연구원들은 설명한다. “이런 준비를 여러 곳에서 하여 단 시간 내 여러 장소에서 한꺼번에 결제를 하면 대규모 현금화도 가능합니다.”
NFC에 대한 공격자들의 관심도 높아지나
쓰레트패브릭은 “최근 공격자들 사이에서 NFC 통신 기술에 대한 관심이 조금씩 증가하고 있다”고 경고하며 “공격에 사용되는 장치와, 거래 장소 간 물리적 거리를 초월할 수 있다는 게 특히나 공격자들에게 매력적으로 다가오는 것 같다”고 분석한다. “게다가 현대의 ATM과 PoS 단말기들에서 거래 지연을 탐지하거나 사기를 방지하는 메커니즘이 보편적으로 도입되어 있지 않다는 것도 범죄자들의 이런 관심을 부추기고 있습니다.”
현재로서 고스트탭을 미리 혹은 실시간으로 탐지하는 건 꽤나 까다롭다고 쓰레트패브릭은 설명한다. “사이버 범죄자가 욕심을 덜 내서 소규모 거래를 여러 곳에서 수행하면 현재 대부분 금융 기관이 가지고 있는 사기 방지 장치들은 발동하지 않을 가능성이 높습니다. 그렇기 때문에 금융 기관들에서는 카드가 새로운 기기에 연결된 경우, 짧은 시간 안에 여러 장소에서 거래가 이뤄진 경우에 대한 이상 징후를 탐지하는 알고리즘을 도입할 필요가 있습니다.”
3줄 요약
1. 사이버 범죄자들 사이에서 은근히 주목받고 있는 NFC 기술.
2. 최근에는 이 기술을 이용해 도난 카드를 마음껏 사용하는 방법도 공유되고 있음.
3. 카드가 새로운 장비에 등록되었을 때 이를 모니터링하는 체계가 추가로 구축되어야 함.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>