한 번 접근으로 ‘중간 기기’만 설치하면 가로채기 쉬워
암호화 되어 있으나 시스템 인증하지 않은 채 정보 보내기 때문
[보안뉴스 문가용] 일반적으로 사용되는 PIN 패드의 POS 간 통신 방식 때문에 지불카드 데이터를 훔치는 것이 매우 간단하다는 사실을 NCR의 보안 전문가인 니르 발트만(Nir Valtman)과 패트릭 왓슨(Patrick Watson)이 발견했다. POS 시뮬레이터가 돌아가는 랩톱과 특수 소프트웨어가 설치된 라즈베리 파이만으로 입증도 했다.
.jpg)
▲ 잘 들려! 누구 목소린지는 모르겠지만...
문제는 지불카드 리더기들이 통신 대상이 되는 시스템을 제대로 인증하지 않는다는 점에 기인한다. 카드를 PIN 패드 혹은 그밖에 다른 카드 리더기에 스와이핑을 할 때(긁을 때), 기기는 자기 띠나 마이크로 칩을 통해 데이터를 읽는다.
그 데이터는 POS 시스템으로 전송되는데, 리더기와 POS 시스템이 직접 연결이 되어 있다면 주로 이더넷 케이블이나 시리얼 포트가 사용된다. 지불 시스템이 온라인 상태라면 - 온라인 상태인 게 보통이다 - 해당 데이터는 다시 지불 프로세스가 진행되는 곳으로 전송된다. 오프라인 상태라면 카드 정보가 암호화 되어 지불 애플리케이션 서버에 저장된다.
이 기본 구조에서 공격자는 POS 시스템이 온라인이든 오프라인이든 상관없이 카드 리더기와 지불 애플리케이션 사이의 통신을 가로챌 수 있다. 필요한 건 심(shim)이 설치되어 있는 중간 기기로, 이번 입증에서 사용된 라즈베리 파이와 같은 것을 말한다.
공격의 원리는 다음과 같다. 현존하는 PIN 패드 기기들은 대부분 카드정보를 전송할 때 POS 시스템을 확인하지 않는다. 즉 PIN 패드는 자기가 전송하는 데이터가 도착하는 곳이 안전한 곳인지 아닌지 제대로 살피지 않는다는 것이다. 말 그대로 ‘기계적인 토스’만 하는 꼴.
그러니 누군가 POS 시스템과 PIN 패드 사이에 개입될 수 있는 장비를 하나 구해 연결만 하면 이 취약점을 악용하는 게 가능해진다. 게다가 PIN 패드와 POS 시스템 사이에 오가는 데이터는 대부분 암호화되어 있지 않다. 훔치는 것도 쉬운데, 훔칠 대상 자체에도 별다른 방비가 적용되어 있지 않은 것이다.
이 취약점은 자기 띠 방식이든 EMV 방식이든 구분 없이 적용이 가능하다. 자기 띠 방식보다 훨씬 안전하다고 알려진 EMV 방식으로서는 ‘모양이 빠지게’ 되었다.
문제는 중간자 공격을 감행할 기기를 설치하는 건데, 물리적인 접근이 있어야만 성립하는 것이기 때문에 약간 까다로운 부분이 될 수도 있다. 하지만 지불 애플리케이션 자체의 DLL을 살짝 조작함으로써 PIN 패드로부터 오는 데이터를 가로채는 것 또한 가능하다고 발트만과 왓슨은 설명한다.
이뿐 아니라 카드를 긁는 단계에서 이미 사용자들을 속여 카드정보 외에 더 많은 정보를 남기도록 하는 것도 가능하다고 한다. “PIN 패드에 입력되는 PIN 번호는 암호화가 됩니다. 하지만 PIN 패드 화면에 ‘PIN 번호를 다시 입력하시오’라는 화면 하나만 띄우면 암호화되지 않은 암호를 받을 수 있게 됩니다.”
물론 소비자가 보안을 잘 알고, 민감한 사람이라면 잘 통하지 않을 방법이긴 하지만, “그런 사람들이 몇이나 되나?” 현재 시장에 있는 PIN 패드와 카드 리더기들 대부분은 이런 공격에 매우 취약한 상태라고 볼트만과 왓슨은 강조했다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
암호화 되어 있으나 시스템 인증하지 않은 채 정보 보내기 때문
[보안뉴스 문가용] 일반적으로 사용되는 PIN 패드의 POS 간 통신 방식 때문에 지불카드 데이터를 훔치는 것이 매우 간단하다는 사실을 NCR의 보안 전문가인 니르 발트만(Nir Valtman)과 패트릭 왓슨(Patrick Watson)이 발견했다. POS 시뮬레이터가 돌아가는 랩톱과 특수 소프트웨어가 설치된 라즈베리 파이만으로 입증도 했다.
▲ 잘 들려! 누구 목소린지는 모르겠지만...
문제는 지불카드 리더기들이 통신 대상이 되는 시스템을 제대로 인증하지 않는다는 점에 기인한다. 카드를 PIN 패드 혹은 그밖에 다른 카드 리더기에 스와이핑을 할 때(긁을 때), 기기는 자기 띠나 마이크로 칩을 통해 데이터를 읽는다.
그 데이터는 POS 시스템으로 전송되는데, 리더기와 POS 시스템이 직접 연결이 되어 있다면 주로 이더넷 케이블이나 시리얼 포트가 사용된다. 지불 시스템이 온라인 상태라면 - 온라인 상태인 게 보통이다 - 해당 데이터는 다시 지불 프로세스가 진행되는 곳으로 전송된다. 오프라인 상태라면 카드 정보가 암호화 되어 지불 애플리케이션 서버에 저장된다.
이 기본 구조에서 공격자는 POS 시스템이 온라인이든 오프라인이든 상관없이 카드 리더기와 지불 애플리케이션 사이의 통신을 가로챌 수 있다. 필요한 건 심(shim)이 설치되어 있는 중간 기기로, 이번 입증에서 사용된 라즈베리 파이와 같은 것을 말한다.
공격의 원리는 다음과 같다. 현존하는 PIN 패드 기기들은 대부분 카드정보를 전송할 때 POS 시스템을 확인하지 않는다. 즉 PIN 패드는 자기가 전송하는 데이터가 도착하는 곳이 안전한 곳인지 아닌지 제대로 살피지 않는다는 것이다. 말 그대로 ‘기계적인 토스’만 하는 꼴.
그러니 누군가 POS 시스템과 PIN 패드 사이에 개입될 수 있는 장비를 하나 구해 연결만 하면 이 취약점을 악용하는 게 가능해진다. 게다가 PIN 패드와 POS 시스템 사이에 오가는 데이터는 대부분 암호화되어 있지 않다. 훔치는 것도 쉬운데, 훔칠 대상 자체에도 별다른 방비가 적용되어 있지 않은 것이다.
이 취약점은 자기 띠 방식이든 EMV 방식이든 구분 없이 적용이 가능하다. 자기 띠 방식보다 훨씬 안전하다고 알려진 EMV 방식으로서는 ‘모양이 빠지게’ 되었다.
문제는 중간자 공격을 감행할 기기를 설치하는 건데, 물리적인 접근이 있어야만 성립하는 것이기 때문에 약간 까다로운 부분이 될 수도 있다. 하지만 지불 애플리케이션 자체의 DLL을 살짝 조작함으로써 PIN 패드로부터 오는 데이터를 가로채는 것 또한 가능하다고 발트만과 왓슨은 설명한다.
이뿐 아니라 카드를 긁는 단계에서 이미 사용자들을 속여 카드정보 외에 더 많은 정보를 남기도록 하는 것도 가능하다고 한다. “PIN 패드에 입력되는 PIN 번호는 암호화가 됩니다. 하지만 PIN 패드 화면에 ‘PIN 번호를 다시 입력하시오’라는 화면 하나만 띄우면 암호화되지 않은 암호를 받을 수 있게 됩니다.”
물론 소비자가 보안을 잘 알고, 민감한 사람이라면 잘 통하지 않을 방법이긴 하지만, “그런 사람들이 몇이나 되나?” 현재 시장에 있는 PIN 패드와 카드 리더기들 대부분은 이런 공격에 매우 취약한 상태라고 볼트만과 왓슨은 강조했다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
-1.png)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
