Offcanvas

보안

“신용 카드 해킹하는 데 걸리는 시간, 단 6초” 노드VPN

2022.08.30 편집부  |  CIO KR
노드VPN이 140개 국에서 400만 개의 결제 카드를 분석한 연구에 따르면, 결제 카드를 해킹하는 데 쓰이는 가장 일반적인 수법인 ‘무차별 대입’의 해킹 공격은 속도가 매우 빠르며 단 몇 초 만에도 암호를 풀릴 수 있는 것으로 나타났다. 

노드VPN의 최고 기술 책임자 마리유스 브리디스는 “다크웹에 엄청난 수의 결제 카드가 유통되고 있는 이유는 무차별 대입을 통한 해킹의 확산”이라며, “숫자 대입에 컴퓨터를 사용하면 해킹 공격은 6초 내외로 성공한다”고 말했다. 

해커는 기본적으로 사용자의 카드 번호와 CVV를 알아내려고 한다. 카드 번호의 처음 6~8자리는 카드 발급 기관의 ID 번호이다. 게다가 16번째 숫자는 체크섬이며 앞의 다른 숫자들을 입력할 때 실수가 있었는지 여부를 판단하는 데만 사용된다. 따라서 해커가 추측해야 하는 나머지 숫자는 실제로 7~9개 정도 밖에 되지 않는 것이다. 즉 숫자 대입에 컴퓨터를 사용하면 해킹 공격은 6초 내외로 성공하는 것이다. 
 

무차별 대입 해킹에서 해커는 시행 착오 방식을 사용해 빠르게 올바른 비밀번호, PIN 또는 결제 카드의 번호를 추측한다. 이런 작업에는 많은 노력이나 복잡한 알고리즘이 필요하지 않고, 단순한 추측 게임이다. 다만 이러한 공격을 실행하려면 약간의 시간과 고성능 컴퓨팅 장비 및 범죄자가 사용하는 특수 유형의 소프트웨어와 같은 일부 리소스가 필요하다.

마리유스 브리디스 CTO는 “전체 카드 번호를 갖는 데 필요한 9자리 숫자를 추측하려면 컴퓨터가 10억 개의 조합을 거쳐야 하고, 시간당 약 250억 개의 조합을 시도할 수 있는 일반적인 컴퓨터의 경우 이는 1분이면 끝나는 연산 작업”이라며, “그러나 카드 발급사에 따라 어떤 카드는 해커가 7개의 숫자만 정확히 추측해내면 공격이 끝나게 된다”고 설명했다. 

대부분의 카드 발급사는 이러한 종류의 공격을 방지하기 위해 시스템 상 시간 제한을 두어 카드 번호를 여러 번 추측할 수 있는 기회를 차단하지만, 해커는 이러한 규제를 피할 방법을 찾아낼 수 있는 것이라고 업체 측은 전망했다. 

예를 들어 마스터카드에는 중앙 집중식 인증 시스템이 있는데, 해커는 중앙 집중식 시스템이 공격 시도를 감지하기 전에 하나의 카드 번호를 약 10번 정도 추측할 수 있다. 그에 반해 비자 보안 시스템에서는 해커가 30~40번, 어쩌면 그 이상의 추측을 시도할 수 있다. 만약 해커가 바쁜 업무 시간 중 적절한 때를 고르면 비자의 분산된 인증 시스템이 해커가 공격을 시도하는 것을 빨리 감지해내지 못하기 때문이다. 

이는 다크웹에서 정보가 유통 중인 것으로 발견된 모든 결제 카드 중 절반 이상(252만4,142개)이 비자 카드였다는 점, 그리고 마스터카드(160만2,248개)와 아메리칸 익스프레스(21만5,971개)가 그 뒤를 이었다는 사실과 관련이 있다. 

노드VPN은 일상에서 카드 사용을 완전히 자제하는 것 외에는 사용자가 이러한 위협으로부터 완전히 자신을 보호할 방법은 거의 없다고 밝혔다. 따라서 현실적으로 우리가 취할 수 있는 가장 중요한 보안 조치는 언제든 일어날 수 있는 해킹에 대해 경계 태세를 유지하는 것이라고 덧붙였다. 

마리유스 브리디스 CTO는 “의심스러운 활동이 있는지 매월 카드 사용 명세서를 검토해 확인하고, 카드가 승인되지 않은 방식으로 사용되었을 수 있다는 은행의 경고 알림에 신속하게 대응해야 한다”며, “또 다른 권장 사항은 각각의 목적을 위한 별도의 은행 계좌를 만들고 결제 카드가 연결된 계좌에는 소액의 돈만 보관하고, 일부 은행은 온라인 쇼핑 중에 안전하지 않다고 느낄 때 사용할 수 있는 임시 가상 카드도 제공한다”고 말했다.

한편, 조사에 활용된 데이터는 사이버 보안 사고 연구를 전문으로 하는 독립 연구원과 협력해 수집됐다. 그들은 카드 유형(신용 또는 체크), 발급 은행 및 환불 가능 여부를 포함해 총 447만8,908장의 카드 정보가 포함된 데이터베이스를 평가했다. 노드VPN이 제3자 연구원으로부터 받은 데이터에는 식별되거나 식별 가능한 개인과 관련된 정보(예: 이름, 연락처 정보 또는 기타 개인 정보)가 포함되지 않았다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.