현재 대부분 신용카드나 현금카드는 기존 마그네틱이 아니라 더 높은 보안을 갖춘 비밀번호 입력 방식(chip-and-pin) 방식을 채택한 IC칩을 채택하고 있다. 그런데 PIN 코드를 알지 않는 한 깨지지 않는 것으로 여겨졌던 이 방식이 해커 집단에 의해 뚫렸다고 한다. 더 이상 절대적으로 안전하고 말할 수 없는 사태가 발생한 것이다.

지난 2011년 5월 프랑스에서 발생한 신용카드 도난 사건에서 유출된 신용카드를 이용해 상품을 대량 구입하는 피해가 발생했다. 피해자의 PIN 코드 자체는 유출되지 않은 것으로 간주한 만큼 신용카드 IC칩 보안이 뚫린 가능성이 지적됐지만 자세한 내용은 공개되지 않았다.

이후 신용카드 도난 사건 범인 중 한 명으로 보이는 25세 여성이 체포됐고 도난 신용카드를 이용해 암시장 등에서 담배 등을 대량 구입했던 것으로 밝혀졌다. 수색 과정에서 도난 신용카드와 현금도 압수됐다.

이 사건에선 신용카드 40장으로 7,000회에 달하는 결제를 통해 60만 유로 피해가 발생했다. 압수된 신용카드는 IC칩이 개조되고 IC칩에 FUN이라고 각인한 다른 칩을 덮게 납땜한 상태였다. 일반 IC칩보다 0.4∼0.7mm 두꺼운 것이었다. 이 개조 신용카드는 증거품으로 재판에 사용된 만큼 분해는 허용되지 않았다.





따라서 이 카드를 물리적으로 파괴되지 않게 엑스선을 이용해 IC칩을 분석했다. 이에 따르면 개조 칩에는 배선이 추가되어 회로가 변경되어 있다. 이를 이용하면 POS 시스템에서 모든 PIN 코드를 허용 상태로 바꿔버리는 것으로 나타난 것이다.

사실 IC칩을 물리적으로 개조해 비밀번호 입력 방식(chip-and-pin) 방식 보안을 비활성화하는 기술 자체는 중간자 공격의 일종으로 지난 2010년 공개된 바 있다. 당시 연구를 통해 비밀번호 입력 방식 자체의 보안에 취약점이 있다는 사실이 밝혀진 것이다. 하지만 당시는 작은 크기 칩에 극세선을 납땜하는 데 장인 수준의 노력이 필요해 실현이 어려울 것으로 여겨졌다. 하지만 실제로는 연구 성과 발표 1년도 채 안 되어 해킹 기술이 등장한 것이다.

이런 점을 들어 전문가들은 비밀번호 입력 방식 자체의 보안이 돌파된 상태로 봐야 하는 만큼 이를 대체 혹은 바꿀 보안 방식 도입이 필요하다고 말한다. 관련 내용은 이곳에서 확인할 수 있다.

Chip-and-PIN Card Hack Analysis

이원영 IT칼럼니스트  b612@glasspad.co.kr

<저작권자 © 테크홀릭, 무단 전재 및 재배포 금지>