뉴캐슬대학 연구팀이 비자와 마스터카드를 대상으로 신용카드를 이용한 온라인 결제에 필요한 정보를 불과 6초면 추측할 수 있는 방법을 조사한 연구 결과를 공개해 눈길을 끈다.

신용카드 결제를 노리는 상습범은 브라우저 봇을 이용한 수법을 통해 수백 개가 넘는 인터넷 쇼핑 사이트에서 고객 결제 정보를 공격한다. 연구팀 조사에 따르면 공격자가 신용카드 결제에 필요한 정보를 추측하는 방법은 여러 가지가 있지만 모두 16자리 신용카드 번호를 입수하는 것부터 시작된다.

공격자는 신용카드 번호를 개당 1달러 이하에 블랙마켓에서 구입할 수 있다. 스마트폰에 장착한 NFC 리더를 이용해 16자리 번호를 다 치는 걸 빼앗거나 알고리즘을 이용해 첫 6자리 숫자에 브랜드와 발행 은행 카드 종류 등을 조합해 16자리 숫자를 추측할 수 있다.

공격자는 16자리 신용카드 번호에서 불과 4초면 카드 유효 기간과 3자리 보안 코드 CVV를 추측할 수 있다. 이런 정보와 16자리 카드 번호가 있으면 대부분 온라인 쇼핑 사이트에서 결제가 가능해져 버린다. 물론 청구 주소를 입력하라고 요구하는 곳도 있지만 비슷한 수법을 이용하면 6초 가량이면 정확한 청구지 주소까지 추측할 수 있다고 한다.





실제 이런 추정 공격에 이용한다는 소프트웨어의 스크린샷도 공개했다. 이를 통해 400개가 넘는 e커머스 사이트를 통해 무작위로 브라우저 봇이 16자리 카드 번호를 찾는 기술을 이용한다. 이 중 26개 사이트에서 카드 결제 확인 항목이 2개 밖에 없었던 반면 291개 사이트에서 확인 항목이 3개로 나타나 있다. 사이트마다 확인 항목이 다르기 때문에 봇은 일부 e커머스 사이트에선 복합적으로 고객 정보를 얻기 위한 정확한 결제 정보를 추측할 수 있는 구조다.

이번에 지적된 수법을 이용하면 한 사이트가 보안을 위해 확인 항목을 더 도입해도 다른 사이트가 추측할 만한 소스를 제공할 수 있다는 점을 말해준다. 결국 결제 시스템 전체를 약화시키는 요인이 된다는 것이다.

연구팀은 신용카드 결제 시스템 최대 기업인 비자가 이런 대량 추측 공격에 대한 탐지 시스템을 사용하지 않고 있다고 밝히고 있다. 반면 경쟁자인 마스터카드는 추측 공격이 성공하기 전에 공격을 멈추게 할 수 있는 시스템을 운영하고 있다고 한다. 연구팀은 가장 많은 대량 추측 공격에 노출되는 웹사이트 40곳에 연락했고 일부는 확인 사항을 검토했다고 한다. 적어도 신용카드 결제 시스템 취약점이 다소 개선된 셈이지만 더 좋은 해결책은 마스터카드와 같은 탐지 시스템을 비자도 도입하는 것이라는 지적이다. 관련 내용은 이곳에서 확인할 수 있다.

정희용 IT칼럼니스트  flygr@naver.com

<저작권자 © 테크홀릭, 무단 전재 및 재배포 금지>