2018.08.20

늘어나는 모바일 POS 결제, 단말기 해킹이 위험하다

Karen Epper Hoffman | CSO
약 5년 전 유통 업체 타깃(Target)이 최악의 대규모 보안 침해를 입은 이후로 결제 시스템이 디지털 공격에 취약할 수 있다는 잠재적인 결함에 대해 점점 더 많은 관심이 집중됐다. 이제 모바일 플랫폼을 통한 결제가 점차 늘고 있는 만큼 가맹점에 카드나 가상화폐 결제를 유도하는 방식으로 모바일 POS(mPOS) 단말기 시스템을 해킹하는 쪽으로 옮겨가는 추세다.



저명한 영국 보안 연구원들은 최근 라스베이거스에서 열린 블랙햇 USA(Black Hat USA) 정보 보안 컨퍼런스에서 미국과 유럽에서 널리 운영되는 mPOS 시스템 중 4가지에서 발견된 고유한 취약점을 자세히 밝힌 연구를 발표했다. 현재 mPOS 보안에 대한 가장 포괄적인 리뷰로 알려진 이 내용에 따르면, 런던에 위치한 포지티브 테크놀로지스(Positive Technologies)의 보안 연구원들은 스퀘어(Square), 섬업(SumUp), 페이팔(PayPal), 아이제틀(iZettle)이 제공하는 7개의 mPOS 단말기 내 모바일 결제 인프라 내부 구조를 파헤친 뒤 이러한 시스템을 해킹할 잠재적 가능성이 있는 호스트를 찾아냈다.

포지티브 테크놀로지스 내 사이버 보안 레질리언스(Cyber Security Resilience) 팀의 책임자인 레이안 갤로웨이와 수석 뱅킹 보안 전문가인 팀 유누소프는 실시간 시연에서 이 시스템의 취약점을 보여주었다. 사이버 범죄자는 이 시스템을 통해 중간자 공격을 수행하고, 블루투스 연결이나 시스템의 모바일 애플리케이션을 통해 무작위 코드를 배포할 수 있다. 또한 마그네틱 스트라이프 카드로 승인된 거래에 대한 결제 대금을 수정하고 내부 펌웨어를 사용하거나 서비스 거부 공격(DoS) 또는 원격 코드 실행(RCE) 형태의 공격을 수행한다. 발표자들은 또 전부는 아니지만 이러한 악용 사례의 대부분은 기존의 사기 방지 도구나 사이버보안 도구 또는 기술로 탐지되지 않고 수행될 수 있다고 지적했다.

공격 유형은 일반적으로 공격자의 최종 목표에 따라 달라진다. 예를 들어 사이버 범죄자는 mPOS시스템에 임의의 명령을 보낼 수도 있다. 이는 카드 소유자가 덜 안전한 채널을 통해 거래를 다시 실행하게 하는 좀 더 큰 소셜 엔지니어링 공격의 일환이다. 반면 거래 금액을 조작해서 포스 단말기에서는 미화 5달러짜리 거래로 보이지만 카드 소지자의 발급 은행에는 50달러가 거래된 것처럼 거래 금액을 조작하는 경우도 있다. RCE 악용은 공격자가 기기 메모리에 접근할 수 있게 해서 mPOS 단말기를 모바일 스키머로 전환해 카드 소지자의 계정 정보를 전자 도용할 수 있게 하기도 한다.

갤로웨이는 블랙햇 현장에서 발표한 ‘돈에 대한 사랑: 모바일용 POS시스템에서의 취약성 발견 및 악용 사례’라는 제목의 프레젠테이션에서 "일반적으로 [고객]은 매장에 들어가 직접 결제 단말기와 상호 작용하거나 카드를 직접 점원에게 건네준다"고 말했다. 그는 "거래가 가맹점 인수자에게 전달되고 이는 발급자[은행]와의 소통으로 이어진다... 그러나 mPOS [거래]에서는 가맹점 인수 업체와 직접적인 관계가 없다. [매장]은 보안 위험을 평가할 수도 있고 하지 않을 수도 있는 mPOS 공급자와 협력하고 있다"고 설명했다.

과거 카드 표준과 마그네틱 스트라이프 수용 시스템, 기존에 있는 고정 거래 터미널을 이용하는 기존 시스템과 달리, 이 공격 벡터 테스트는 칩 카드에 있어 근거리 통신(NFC)과 EMV와 같은 새로운 결제 표준이 어떠한지, mPOS 하드웨어와 소프트웨어, 프로세스가 어떻게 악용되는지를 시험한다. 사실 소규모의 가맹점 중 일부는 전형적인 매장을 운영하지도 않을 수 있다. 이러한 모바일 결제 시스템의 이점은 사용 편의성과 비용이다. 가맹점 은행 계좌를 개설할 필요가 없고 mPOS 기기는 50달러 수준이어서 비용이 거의 들지도 않는 것이다. 전략 컨설팅업체인 글로벌 마켓 인사이트(Global Market Insight)의 조사에 따르면 실제로 mPOS 단말기 시장 규모는 2024년까지 550억 달러 수준에 달할 것으로 예측된다.

갤로웨이는 2개의 공급업체에서 가져온 2개의 시스템에서 잠재적인 결함을 조사하기 위해 시작된 연구 프로젝트가 지난 2015년 mPOS 시스템을 악용할 수 있다는 내용을 담은 보스턴 기반 학생 해커 그룹의 보고서에서 영감을 얻었다고 전했다. 갤로웨이는 "공격 벡터에 대한 기본적인 이해를 했다"며 "그러나 '이 시스템에 얼마나 많은 보안이 내장되어 있는가’라는 주요 의문은 여전히 남아 있다"고 밝혔다.

미국과 유럽의 mPOS 시스템 모두 잠재적인 보안상 격차를 보여 주었지만, 미국 기반 모바일 판매자들의 주된 관심사는 EMV 칩 거래를 덜 사용하는 탓에 현재 유럽의 경쟁 업체에 비해 이러한 공격으로부터 보호받지 못한다는 점에 있다. 기존 마그네틱 스트라이프 외에도 미국의 신용카드 중 96%가 보다 안전한 칩을 자랑하지만 이 칩을 사용하는 미국 mPOS 기기는 13%에 불과하다. 칩 카드가 수십 년 동안 표준으로 자리 잡은 유럽에서는 모든 mPOS 거래의 약 95%가 악용 가능성이 적은 칩을 사용하여 실행된다.

포지티브 테크놀로지스는 결함 발견과 관련한 결과를 공급 업체에 공개하고 이런 회사와 협력하여 취약점을 패치 한다. mPOS 제공업체는 이러한 보안 격차를 해소하기 위해 이미 빠른 진전을 보이고 있다. 스퀘어가 최근 공개한 내용에 따르면 M010 모바일 단말기에 심각한 결함이 있다는 점을 발견한 뒤 스퀘어는 이 단말기의 지원을 중단했다. 그리고 모바일 판매점에 대한 보다 빠른 업데이트와 안전한 스퀘어 비접촉식 칩 단말기로 전환하기 위한 기존 계획을 수정했다. ciokr@idg.co.kr
 



2018.08.20

늘어나는 모바일 POS 결제, 단말기 해킹이 위험하다

Karen Epper Hoffman | CSO
약 5년 전 유통 업체 타깃(Target)이 최악의 대규모 보안 침해를 입은 이후로 결제 시스템이 디지털 공격에 취약할 수 있다는 잠재적인 결함에 대해 점점 더 많은 관심이 집중됐다. 이제 모바일 플랫폼을 통한 결제가 점차 늘고 있는 만큼 가맹점에 카드나 가상화폐 결제를 유도하는 방식으로 모바일 POS(mPOS) 단말기 시스템을 해킹하는 쪽으로 옮겨가는 추세다.



저명한 영국 보안 연구원들은 최근 라스베이거스에서 열린 블랙햇 USA(Black Hat USA) 정보 보안 컨퍼런스에서 미국과 유럽에서 널리 운영되는 mPOS 시스템 중 4가지에서 발견된 고유한 취약점을 자세히 밝힌 연구를 발표했다. 현재 mPOS 보안에 대한 가장 포괄적인 리뷰로 알려진 이 내용에 따르면, 런던에 위치한 포지티브 테크놀로지스(Positive Technologies)의 보안 연구원들은 스퀘어(Square), 섬업(SumUp), 페이팔(PayPal), 아이제틀(iZettle)이 제공하는 7개의 mPOS 단말기 내 모바일 결제 인프라 내부 구조를 파헤친 뒤 이러한 시스템을 해킹할 잠재적 가능성이 있는 호스트를 찾아냈다.

포지티브 테크놀로지스 내 사이버 보안 레질리언스(Cyber Security Resilience) 팀의 책임자인 레이안 갤로웨이와 수석 뱅킹 보안 전문가인 팀 유누소프는 실시간 시연에서 이 시스템의 취약점을 보여주었다. 사이버 범죄자는 이 시스템을 통해 중간자 공격을 수행하고, 블루투스 연결이나 시스템의 모바일 애플리케이션을 통해 무작위 코드를 배포할 수 있다. 또한 마그네틱 스트라이프 카드로 승인된 거래에 대한 결제 대금을 수정하고 내부 펌웨어를 사용하거나 서비스 거부 공격(DoS) 또는 원격 코드 실행(RCE) 형태의 공격을 수행한다. 발표자들은 또 전부는 아니지만 이러한 악용 사례의 대부분은 기존의 사기 방지 도구나 사이버보안 도구 또는 기술로 탐지되지 않고 수행될 수 있다고 지적했다.

공격 유형은 일반적으로 공격자의 최종 목표에 따라 달라진다. 예를 들어 사이버 범죄자는 mPOS시스템에 임의의 명령을 보낼 수도 있다. 이는 카드 소유자가 덜 안전한 채널을 통해 거래를 다시 실행하게 하는 좀 더 큰 소셜 엔지니어링 공격의 일환이다. 반면 거래 금액을 조작해서 포스 단말기에서는 미화 5달러짜리 거래로 보이지만 카드 소지자의 발급 은행에는 50달러가 거래된 것처럼 거래 금액을 조작하는 경우도 있다. RCE 악용은 공격자가 기기 메모리에 접근할 수 있게 해서 mPOS 단말기를 모바일 스키머로 전환해 카드 소지자의 계정 정보를 전자 도용할 수 있게 하기도 한다.

갤로웨이는 블랙햇 현장에서 발표한 ‘돈에 대한 사랑: 모바일용 POS시스템에서의 취약성 발견 및 악용 사례’라는 제목의 프레젠테이션에서 "일반적으로 [고객]은 매장에 들어가 직접 결제 단말기와 상호 작용하거나 카드를 직접 점원에게 건네준다"고 말했다. 그는 "거래가 가맹점 인수자에게 전달되고 이는 발급자[은행]와의 소통으로 이어진다... 그러나 mPOS [거래]에서는 가맹점 인수 업체와 직접적인 관계가 없다. [매장]은 보안 위험을 평가할 수도 있고 하지 않을 수도 있는 mPOS 공급자와 협력하고 있다"고 설명했다.

과거 카드 표준과 마그네틱 스트라이프 수용 시스템, 기존에 있는 고정 거래 터미널을 이용하는 기존 시스템과 달리, 이 공격 벡터 테스트는 칩 카드에 있어 근거리 통신(NFC)과 EMV와 같은 새로운 결제 표준이 어떠한지, mPOS 하드웨어와 소프트웨어, 프로세스가 어떻게 악용되는지를 시험한다. 사실 소규모의 가맹점 중 일부는 전형적인 매장을 운영하지도 않을 수 있다. 이러한 모바일 결제 시스템의 이점은 사용 편의성과 비용이다. 가맹점 은행 계좌를 개설할 필요가 없고 mPOS 기기는 50달러 수준이어서 비용이 거의 들지도 않는 것이다. 전략 컨설팅업체인 글로벌 마켓 인사이트(Global Market Insight)의 조사에 따르면 실제로 mPOS 단말기 시장 규모는 2024년까지 550억 달러 수준에 달할 것으로 예측된다.

갤로웨이는 2개의 공급업체에서 가져온 2개의 시스템에서 잠재적인 결함을 조사하기 위해 시작된 연구 프로젝트가 지난 2015년 mPOS 시스템을 악용할 수 있다는 내용을 담은 보스턴 기반 학생 해커 그룹의 보고서에서 영감을 얻었다고 전했다. 갤로웨이는 "공격 벡터에 대한 기본적인 이해를 했다"며 "그러나 '이 시스템에 얼마나 많은 보안이 내장되어 있는가’라는 주요 의문은 여전히 남아 있다"고 밝혔다.

미국과 유럽의 mPOS 시스템 모두 잠재적인 보안상 격차를 보여 주었지만, 미국 기반 모바일 판매자들의 주된 관심사는 EMV 칩 거래를 덜 사용하는 탓에 현재 유럽의 경쟁 업체에 비해 이러한 공격으로부터 보호받지 못한다는 점에 있다. 기존 마그네틱 스트라이프 외에도 미국의 신용카드 중 96%가 보다 안전한 칩을 자랑하지만 이 칩을 사용하는 미국 mPOS 기기는 13%에 불과하다. 칩 카드가 수십 년 동안 표준으로 자리 잡은 유럽에서는 모든 mPOS 거래의 약 95%가 악용 가능성이 적은 칩을 사용하여 실행된다.

포지티브 테크놀로지스는 결함 발견과 관련한 결과를 공급 업체에 공개하고 이런 회사와 협력하여 취약점을 패치 한다. mPOS 제공업체는 이러한 보안 격차를 해소하기 위해 이미 빠른 진전을 보이고 있다. 스퀘어가 최근 공개한 내용에 따르면 M010 모바일 단말기에 심각한 결함이 있다는 점을 발견한 뒤 스퀘어는 이 단말기의 지원을 중단했다. 그리고 모바일 판매점에 대한 보다 빠른 업데이트와 안전한 스퀘어 비접촉식 칩 단말기로 전환하기 위한 기존 계획을 수정했다. ciokr@idg.co.kr
 

X