Offcanvas

��������� ������

늘어나는 모바일 POS 결제, 단말기 해킹이 위험하다

약 5년 전 유통 업체 타깃(Target)이 최악의 대규모 보안 침해를 입은 이후로 결제 시스템이 디지털 공격에 취약할 수 있다는 잠재적인 결함에 대해 점점 더 많은 관심이 집중됐다. 이제 모바일 플랫폼을 통한 결제가 점차 늘고 있는 만큼 가맹점에 카드나 가상화폐 결제를 유도하는 방식으로 모바일 POS(mPOS) 단말기 시스템을 해킹하는 쪽으로 옮겨가는 추세다. 저명한 영국 보안 연구원들은 최근 라스베이거스에서 열린 블랙햇 USA(Black Hat USA) 정보 보안 컨퍼런스에서 미국과 유럽에서 널리 운영되는 mPOS 시스템 중 4가지에서 발견된 고유한 취약점을 자세히 밝힌 연구를 발표했다. 현재 mPOS 보안에 대한 가장 포괄적인 리뷰로 알려진 이 내용에 따르면, 런던에 위치한 포지티브 테크놀로지스(Positive Technologies)의 보안 연구원들은 스퀘어(Square), 섬업(SumUp), 페이팔(PayPal), 아이제틀(iZettle)이 제공하는 7개의 mPOS 단말기 내 모바일 결제 인프라 내부 구조를 파헤친 뒤 이러한 시스템을 해킹할 잠재적 가능성이 있는 호스트를 찾아냈다. 포지티브 테크놀로지스 내 사이버 보안 레질리언스(Cyber Security Resilience) 팀의 책임자인 레이안 갤로웨이와 수석 뱅킹 보안 전문가인 팀 유누소프는 실시간 시연에서 이 시스템의 취약점을 보여주었다. 사이버 범죄자는 이 시스템을 통해 중간자 공격을 수행하고, 블루투스 연결이나 시스템의 모바일 애플리케이션을 통해 무작위 코드를 배포할 수 있다. 또한 마그네틱 스트라이프 카드로 승인된 거래에 대한 결제 대금을 수정하고 내부 펌웨어를 사용하거나 서비스 거부 공격(DoS) 또는 원격 코드 실행(RCE) 형태의 공격을 수행한다. 발표자들은 또 전부는 아니지만 이러한 악용 사례의 대부분은 기존의 사기 방지 도구나 사이버보안 도구 또는 기술로 탐지되지 않고 수행될 수 있다고 지적했다. 공격 유형은 일반적으로 공격자의 최종 목표에 따라 달...

CSO 포지티브 테크놀로지스 mPOS 모바일 포스 타겟 블랙햇 펌웨어 dos POS 페이팔 소셜 엔지니어링 취약점 해킹 서비스 거부 공격

2018.08.20

약 5년 전 유통 업체 타깃(Target)이 최악의 대규모 보안 침해를 입은 이후로 결제 시스템이 디지털 공격에 취약할 수 있다는 잠재적인 결함에 대해 점점 더 많은 관심이 집중됐다. 이제 모바일 플랫폼을 통한 결제가 점차 늘고 있는 만큼 가맹점에 카드나 가상화폐 결제를 유도하는 방식으로 모바일 POS(mPOS) 단말기 시스템을 해킹하는 쪽으로 옮겨가는 추세다. 저명한 영국 보안 연구원들은 최근 라스베이거스에서 열린 블랙햇 USA(Black Hat USA) 정보 보안 컨퍼런스에서 미국과 유럽에서 널리 운영되는 mPOS 시스템 중 4가지에서 발견된 고유한 취약점을 자세히 밝힌 연구를 발표했다. 현재 mPOS 보안에 대한 가장 포괄적인 리뷰로 알려진 이 내용에 따르면, 런던에 위치한 포지티브 테크놀로지스(Positive Technologies)의 보안 연구원들은 스퀘어(Square), 섬업(SumUp), 페이팔(PayPal), 아이제틀(iZettle)이 제공하는 7개의 mPOS 단말기 내 모바일 결제 인프라 내부 구조를 파헤친 뒤 이러한 시스템을 해킹할 잠재적 가능성이 있는 호스트를 찾아냈다. 포지티브 테크놀로지스 내 사이버 보안 레질리언스(Cyber Security Resilience) 팀의 책임자인 레이안 갤로웨이와 수석 뱅킹 보안 전문가인 팀 유누소프는 실시간 시연에서 이 시스템의 취약점을 보여주었다. 사이버 범죄자는 이 시스템을 통해 중간자 공격을 수행하고, 블루투스 연결이나 시스템의 모바일 애플리케이션을 통해 무작위 코드를 배포할 수 있다. 또한 마그네틱 스트라이프 카드로 승인된 거래에 대한 결제 대금을 수정하고 내부 펌웨어를 사용하거나 서비스 거부 공격(DoS) 또는 원격 코드 실행(RCE) 형태의 공격을 수행한다. 발표자들은 또 전부는 아니지만 이러한 악용 사례의 대부분은 기존의 사기 방지 도구나 사이버보안 도구 또는 기술로 탐지되지 않고 수행될 수 있다고 지적했다. 공격 유형은 일반적으로 공격자의 최종 목표에 따라 달...

2018.08.20

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.8