카드 방식 바뀌기 시작하면서 덩달아 변화하는 사기 카드 제작 기술
스키머의 인기 시들고 쉬머가 활발히 거래되고 있어...대응책도 나와
[보안뉴스 문가용 기자] 사이버 범죄자들이 스키머(skimmer) 대신 쉬머(shimmer)를 더 많이 사용하기 시작했다는 내용의 보고서가 발표됐다. 보안 업체 플래시포인트(Flashpoint)가 조사해 발표한 것이다.
[이미지 = iclickart]
먼저 스키머란, 정상적인 카드 리더기 내에 삽입되는 작은 장비로, 좀처럼 눈에 띄지 않고 식별도 어렵다. 카드의 자기 띠로부터 정보를 훔쳐내는 기능을 가지고 있으며, 이를 통해 공격자들은 카드를 복제할 수 있게 된다. 한 때 사회적 문제가 될 정도로 범죄자들 사이에서 인기가 높았다.
그런데 카드 산업에서 변화가 있었다. 유로페이 마스터카드 비자(EMV) 지불 방법인 ‘칩 카드 기반’으로 변한 것이다. 이 때문에 자기 띠에 저장되던 카드 데이터가 회로에 들어가게 되었다. 공격자들은 자기 띠를 공략해봐야 별다른 성과를 거두지 못하게 되었다. 쉬머라는 것에 눈을 돌리기 시작한 이유다.
쉬머는 2016년에 처음 자세히 공개된 장비로, 스키머보다 훨씬 작으며, ATM이나 POS 시스템 안쪽에 있는 칩 리더기와 칩 사이에 주로 위치한다. 플래시 스토리지와 마이크로 칩으로 구성되어 있으며, 복제된 지불카드 데이터를 저장한다. 여기에 저장된 데이터는 공격자가 준비한 가짜 카드의 자기 띠로 옮겨진다.
칩 카드는 이론상 복제가 불가능하다. iCVV라는 것 때문이다. iCVV는 통합 회로 카드 검증 값(integrated circuit card verification value)이라는 뜻으로, 자기 띠 방식 카드에 있던 CVV 번호와 비슷한 역할을 한다. iCVV는 칩에서부터 자기 띠 데이터가 복사되는 것을 방지하며, 따라서 칩의 정보를 자기 띠로 옮겨 가짜 카드를 만드는 걸 차단한다.
또 다른 카드 보호 장치로는 CPP가 있다. ATM 내부에 있는 것으로, 카드 보호판(Card Protection Plate)이라는 의미를 가지고 있다. 객체들이 ATM 카드 리더기 내로 삽입되는 것을 막는 장치로, 쉬머처럼 작은 장비도 제대로 장착될 수 없도록 한 것이다.
물론 이런 장비들이 만능은 아니다. 플래시포인트는 “결국 이러한 기술들이 존재하더라도, 은행 등의 사용자 측에서 제대로 구축하고 활용해야 100% 활용이 가능하다”고 설명한다. 특히 iCVV의 경우 은행이 거래 확인을 정확히 해야 기능이 발휘된다고 한다.
공격자들이 노리고 있는 것도 바로 이 ‘구축 오류’다. iCVV라는 기술 자체를 정면으로 무력화시키는 게 아닌 것이다. “설정이 잘못되어 있는 경우가 있습니다. 이런 현상에 따라 표준이 바뀌고 있기도 하지요. 정적 데이터 인증(Static Data Authentication, SDA) EMV 카드의 경우 서서히 동적 데이터 인증(DDA)과 통합 데이터 인증(CDA)로 바뀌어가고 있습니다.”
플래시포인트는 “최근 사이버 범죄자들이 온라인 포럼에서 맞춤형으로 제작하거나 각자가 개발한 쉬머를 활발하게 거래하는 추세”라며, “CPP를 미리 탐지해주는 기능이 추가되거나, 사용법을 영상으로 촬영해 얹어주는 식의 거래가 활성화 되고 있다”고 설명한다.
플래시포인트는 “ATM 쉬머를 막는 최적의 방법은 현재 시점에서 CPP로 보인다”는 의견이다. “다만 이 CPP라는 장비의 소프트웨어와 하드웨어를 주기적으로 업데이트 해야 진정한 효과를 볼 수 있습니다. 공격자들이 CPP를 뚫어낼 수 있는 건, 업데이트 되지 않은 것들이 사용되기 때문입니다.”
3줄 요약
1. 자기 띠 카드가 EMV 방식으로 대체되기 시작하며 공격 장비도 바뀌고 있음.
2. 이전에는 스키머가 인기가 높았다면, 이제는 쉬머가 대세.
3. 쉬머에 대한 대응 방법도 하나 둘 나오고 있지만, 구축과 관리에서 허점 생기며 뚫리고 있음.
[국제부 문가용 기자(globoan@boannews.com)]
스키머의 인기 시들고 쉬머가 활발히 거래되고 있어...대응책도 나와
[보안뉴스 문가용 기자] 사이버 범죄자들이 스키머(skimmer) 대신 쉬머(shimmer)를 더 많이 사용하기 시작했다는 내용의 보고서가 발표됐다. 보안 업체 플래시포인트(Flashpoint)가 조사해 발표한 것이다.
[이미지 = iclickart]
먼저 스키머란, 정상적인 카드 리더기 내에 삽입되는 작은 장비로, 좀처럼 눈에 띄지 않고 식별도 어렵다. 카드의 자기 띠로부터 정보를 훔쳐내는 기능을 가지고 있으며, 이를 통해 공격자들은 카드를 복제할 수 있게 된다. 한 때 사회적 문제가 될 정도로 범죄자들 사이에서 인기가 높았다.
그런데 카드 산업에서 변화가 있었다. 유로페이 마스터카드 비자(EMV) 지불 방법인 ‘칩 카드 기반’으로 변한 것이다. 이 때문에 자기 띠에 저장되던 카드 데이터가 회로에 들어가게 되었다. 공격자들은 자기 띠를 공략해봐야 별다른 성과를 거두지 못하게 되었다. 쉬머라는 것에 눈을 돌리기 시작한 이유다.
쉬머는 2016년에 처음 자세히 공개된 장비로, 스키머보다 훨씬 작으며, ATM이나 POS 시스템 안쪽에 있는 칩 리더기와 칩 사이에 주로 위치한다. 플래시 스토리지와 마이크로 칩으로 구성되어 있으며, 복제된 지불카드 데이터를 저장한다. 여기에 저장된 데이터는 공격자가 준비한 가짜 카드의 자기 띠로 옮겨진다.
칩 카드는 이론상 복제가 불가능하다. iCVV라는 것 때문이다. iCVV는 통합 회로 카드 검증 값(integrated circuit card verification value)이라는 뜻으로, 자기 띠 방식 카드에 있던 CVV 번호와 비슷한 역할을 한다. iCVV는 칩에서부터 자기 띠 데이터가 복사되는 것을 방지하며, 따라서 칩의 정보를 자기 띠로 옮겨 가짜 카드를 만드는 걸 차단한다.
또 다른 카드 보호 장치로는 CPP가 있다. ATM 내부에 있는 것으로, 카드 보호판(Card Protection Plate)이라는 의미를 가지고 있다. 객체들이 ATM 카드 리더기 내로 삽입되는 것을 막는 장치로, 쉬머처럼 작은 장비도 제대로 장착될 수 없도록 한 것이다.
물론 이런 장비들이 만능은 아니다. 플래시포인트는 “결국 이러한 기술들이 존재하더라도, 은행 등의 사용자 측에서 제대로 구축하고 활용해야 100% 활용이 가능하다”고 설명한다. 특히 iCVV의 경우 은행이 거래 확인을 정확히 해야 기능이 발휘된다고 한다.
공격자들이 노리고 있는 것도 바로 이 ‘구축 오류’다. iCVV라는 기술 자체를 정면으로 무력화시키는 게 아닌 것이다. “설정이 잘못되어 있는 경우가 있습니다. 이런 현상에 따라 표준이 바뀌고 있기도 하지요. 정적 데이터 인증(Static Data Authentication, SDA) EMV 카드의 경우 서서히 동적 데이터 인증(DDA)과 통합 데이터 인증(CDA)로 바뀌어가고 있습니다.”
플래시포인트는 “최근 사이버 범죄자들이 온라인 포럼에서 맞춤형으로 제작하거나 각자가 개발한 쉬머를 활발하게 거래하는 추세”라며, “CPP를 미리 탐지해주는 기능이 추가되거나, 사용법을 영상으로 촬영해 얹어주는 식의 거래가 활성화 되고 있다”고 설명한다.
플래시포인트는 “ATM 쉬머를 막는 최적의 방법은 현재 시점에서 CPP로 보인다”는 의견이다. “다만 이 CPP라는 장비의 소프트웨어와 하드웨어를 주기적으로 업데이트 해야 진정한 효과를 볼 수 있습니다. 공격자들이 CPP를 뚫어낼 수 있는 건, 업데이트 되지 않은 것들이 사용되기 때문입니다.”
3줄 요약
1. 자기 띠 카드가 EMV 방식으로 대체되기 시작하며 공격 장비도 바뀌고 있음.
2. 이전에는 스키머가 인기가 높았다면, 이제는 쉬머가 대세.
3. 쉬머에 대한 대응 방법도 하나 둘 나오고 있지만, 구축과 관리에서 허점 생기며 뚫리고 있음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
