애플 페이로 수백만 달러를 잃었지만 애플 탓은 아냐
사회보장번호로 신원을 증명하는 작업은 사실상 무의미
[보안뉴스 주소형] 이미 다수의 해커가 애플 페이(Apple Pay)가 작동하는 과정 중에 있는 허점을 악용해 수백만 달러를 거둬들였다고 한다. 이는 제아무리 최고의 보안기술을 갖추고 있어도 그에 걸맞게 현실에 적용되지 않으면 사기 행각은 막을 수 없다는 또 다른 예로 해석되고 있다.
많은 전문가들이 애플의 모바일 결제 기술이 다른 모바일 결제 기술들보다 우수하다고 평하고 있다. 그러나 현실은 이런 평을 부정한다. 애플 페이가 나온 이후부터 애플 페이를 통한 사기 건수가 급증하는 추세이기 때문이다. 최근 영국 일간지 더 가디언(The Guardian)에서 애플 페이를 심도 있게 보도했는데 내용을 보면 해커들이 애플전용 운영체계인 IOS 기기에 등록되어 있는 결제카드 계정을 해킹한다고 나와있다. 즉 애플 페이라는 시스템 자체는 견고한데, 그 안에 들어가는 카드가 취약하다는 것이다.
“애플 페이는 대단하다” 미국의 IT 전문 리서치 기업 가트너(Gartner)의 아비바 리탄(Avivah Litan) 분석가의 말이다. “지금 발생하는 사기 행각들은, 신원 증명을 위한 은행 결제 과정에 문제가 있기 때문이다.” 다시 말해 애플 페이를 통해 이뤄지는 사기 행각들은 애플과는 무관하다는 것. 암호화 관련 문제도 아니고 토큰화 프로토콜에도 아무 이상이 없다. 모든 사기는 카드/토큰 결제를 공급하는 은행과 연관이 있는 것으로 파악됐다.
※토큰화(Tokenization): 모바일, 온라인 상거래에서 기존의 신용카드 정보를 디지털 토큰으로 전환하는 것.
“모바일 뱅킹, 모바일 RDC, 모바일 결제 등 모든 모바일 결제 서비스는 은행 계정 탈취가 가장 문제라는 공통분모가 있다”고 제벌린 스트래터지 앤 리서치(Javelin Strategy & Research)의 알 파스쿠얼(Al Pascual) 보안범죄 책임자의 설명이다. ”계정 주인이 스스로 주의를 기울여야 할 필요가 있다.”
애플에 따르면 IOS 사용자가 애플 페이 시스템에 새로운 신용 계정 정보를 추가할 때, 아이튠즈(iTunes) 계정 활동과 기기 이름, 현재 위치 등과 같은 기기 정보를 암호화하여 은행으로 보낸다.
해당 정보들을 받은 은행이 이를 승인하는 방법은 은행마다 차이가 있다. 어떤 은행은 단독적으로 승인처리 하는가하면 추가적인 단계를 거쳐 승인해주는 은행도 있다. 여기서 추가적인 단계라 함은 직접 이용자에게 전화하여 사회보장번호(SSN) 끝번호 4자리를 물어보는 방식 등으로 신원을 확인하는 일을 주로 말한다. 그런데 이 같은 작업도 큰 의미가 없다. 해커들이 사회보장번호를 포함한 개인정보를 손에 넣는 건 그리 어려운 일이 아니기 때문이다. 쇼핑하듯이 암시장에서 간단하게 사들이면 된다.
게다가 사회보장번호가 대단히 보안성이 좋냐 하면 그런 것도 아니다. 바꿀 수도 없고(물론 굉장히 불편한 행정절차를 거치면 전혀 불가능한 것도 아니다) 솔직히 브루트포스 공격 수법이 아주 기초적이고 쉬운 방법이 된 요즘 숫자 몇 자리로 자기 자신을 증명할 수 있다고 믿는 건 '나이브'하기까지 하다. 또한 우리는 얼마나 많은 사회보장번호 유출사고를 보아왔는가.
“상위 50개 금융기관의 66%가 소비자의 신원을 사회보장번호로 확인하고 있는 것으로 조사됐다”라며, “또한 우리는 8,000만개의 사회보장번호가 유출된 것을 발견했다. 다행히 그렇게 무의하고 위험한 신원 확인 작업보다 안전한 방법이 있다. 바로 콜 센터 고객인증 방법인데 생체인식 등으로 신원을 확인하는 것이다”라고 파스쿠얼 보안범죄 책임자는 말했다.
리탄 분석가는 금융기관은 사회보장번호와 같은 고정적인 정보에 대한 의존도를 줄이고 행동 분석과 같은 유동적인 정보의 활용도를 높여야 한다고 지적했다. 이제 다양한 신원 확인 방법들을 모색해야 한다는 것. 예를 들어 모바일기기, 이메일주소, 전화번호와 이름이 연결되는지 검사하거나, 위치정보, 지문을 활용하는 방법이 있다. 금융기관이 생체인식 툴을 실행하거나 시간이 걸리더라도 우편이나 직접 사람을 만나 신원을 확인해야 한다고 권고도 전문가들 사이에 돌아다니는 것이 사실이다.
“모바일기기와 계좌 주인을 연계해야 한다”며 “모바일 신원 인증을 가능케 하는 기술이 있는데 향후 이 기술이 인기가 많아질 것으로 보인다”고 파스쿠얼 보안범죄 책임자는 예상했다. “사람들이 보통 애플 페이를 사용할 때 애플과 금융기관을 하나로 보고 있습니다. 그래서 애플 페이에서 사건이 일어난다고 했을 때, 그것이 분명히 금융기관의 허술함으로 인해 발생하는 것이더라도 사람들은 애플이 잘못한 것으로 이해합니다. 하지만 그럼에도 애플 페이가 더 확산되는 데에 큰 시간이 걸리지는 않을 것 같습니다. 인기가 워낙에 많아야지요.”
@DARKReading [국제부 주소형 기자(sochu@boannews.com)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
