스위스 ETH 취리히 대학 연구원은 마스터카드와 마에스트로의 비접촉식 카드에 대한 PIN 우회 공격을 시연해 보였다.

연구원들은 도난당한 카드와 가맹점의 PoS(Point-of-Sale) 터미널 사이에서 중간자(Man-in-the-Middle) 공격을 수행했다.

실제 공격 시나리오에서 공격자는 피해자의 비접촉식 카드를 사용해 카드의 PIN을 모른 채 값비싼 구매를 할 수 있는 것으로 조사됐다.

연구원에 따르면, 공격자는 사용 중인 카드가 비자카드라고 믿도록 단말기를 속이고 비자에 대해 보고한 최근 PIN 우회 공격을 적용하는 것이라고 설명했다.

이어 “우리는 안드로이드 애플리케이션을 구축했으며 마에스트로 직불 카드를 사용한 400달러 이상의 거래를 포함해 마스터카드 직불 카드와 신용 카드 모두를 사용하는데 성공했다”고 밝혔다.

시큐리티어페어스 보도에 따르면, 이 공격은 와이파이를 통한 TCP/IP 서버 클라이언트 통신을 사용해 구축된 릴레이 채널을 통해 연결된 두 대의 안드로이드 스마트폰(NFC 지원 및 Android 4.4 KitKat 이상 실행)을 사용해 구현되었다.

한 전화기는 POS 에뮬레이터 모드에서 앱을 실행하고 다른 전화기는 카드 에뮬레이터 모드에서 연구원이 개발한 앱을 실행한다.

카드 에뮬레이터 모드에서 실행되는 장치는 안드로이드의 호스트 기반 카드 에뮬레이션을 지원해야 휴대폰이 앱에서 구현한 NFC 결제 서비스를 시작할 수 있다.

중간자 기능은 POS 에뮬레이터 장치에서 실행되는 반면 카드 에뮬레이터는 릴레이 채널의 프록시 역할을 한다.

공격 시나리오는 간단하다.

공격자는 카드가 거래를 시작하도록 속이고 거래 세부 정보를 캡처하기 위해 카드 근처에 PoS 에뮬레이터 장치를 배치한다.

반면 카드 에뮬레이터는 사기꾼이 수정된 거래 세부 정보를 실제 PoS에 제공하는 데 사용된다.

같은 연구원팀은 작년에 비자 비접촉식 결제에서 PIN을 우회하는 방법을 고안하고 이 새로운 공격의 일부로 이 기술을 사용했다.

이 기술은 사용 중인 카드가 마에스트로가 아닌 비자라고 믿도록 단말기를 속이는 데 사용되었다.

매장의 PoS 운영자는 고객이 모바일 결제 앱으로 지불하는 관점에서 공격을 감지할 수 없다.

★정보보안 대표 미디어 데일리시큐!★