광고

신용카드 해킹 위협 노출‘요주의’

내 호주머니 속 개인정보 해킹되고 있다

운영자 | 기사입력 2011/01/11 [13:26]

신용카드 해킹 위협 노출‘요주의’

내 호주머니 속 개인정보 해킹되고 있다

운영자 | 입력 : 2011/01/11 [13:26]
최근 미국 뉴스에서 마치 영화 같은 해킹장면이 방송돼 화제다. 어떤 저가의 RFID 판독기를 가지고 다니며 카드가 들은 상대의 바지주머니나 핸드백에 접촉하자 상대의 개인정보가 싹 해킹된 것이다. 이에 빈번하게 기업의 개인정보 유출이 일어나는 한국의 기업도 서둘러 보안 솔루션을 만들어야 한다는 여론이 거세게 일어나고 있다.
 

 시스템과 보안 솔루션을 별개로 생각하는 정보시스템이 문제
 RFID판독기로 바지 주머니나 핸드백 속 신용카드 개인정보도 해킹

 지난해 3월 교통카드를 해킹을 시연한 방송이 공중파를 타면서 사람들은 놀라움을 금치 못했다.

 다음 7월에는 마트, 음식점 등에서 전국적으로 26만대가 사용되고 있는 POS(Point Of Sale)라는 신용카드 결제기를 해킹, 해킹한 정보로 신용카드를 복제한 일당이 경찰에 검거됐다. 

 그렇지만 잇따른 기업들의 개인정보유출 사건이나 작년 3월 단 세 명의 해커들에 의해 국내 2000만건 이상의 개인정보를 유출한 사건들은 한국의 보안의식이 얼마나 취약한지 보여준 사례이다. 

▲     © 운영자

 3명의 해커가 2000만건 개인정보 유출

 보안 업계 종사자들 사이에서는 신기한 일도 아니라는 반응이다. 이미 외국에서 다 한 번쯤은 일어난 사건들이기 때문이다. 그러나 사례나 실제 사건들이 줄을 이어도 계속해서 보안사태가 계속해서 일어나고 있다. 보안업계사람들은 그 이유를 안보 불감증에 있다고 설명한다.

 예를 들어 결제시스템이 있다면 시스템 구성할 때 애초에 보안을 포함해서 구성해야 하지만, 많은 경우 시스템과 보안 솔루션을 별개의 것으로 생각하고 있다. 심지어 100대 대기업에서조차 이같은 인식이 자리잡고 있는 것이 사실이다.

 앞서 언급한 미국방송에 나왔던 카드가 해킹될 수 있는 이유는 IC칩에 RFID기술(이하 전자태그)이 적용되어 있기 때문이다. 전자태그란 우리가 선없이 교통카드를 단말기에 갖다 대기만 해도 인식이 가능하게 하는 기술을 말한다.

 기존의 바코드처럼 직접 접촉하거나 가시대역 안에서 접촉할 필요없이 전파를 통해 정보처리가 가능하기에 이미 널리 사용하고 있다. 하지만 전자태그는 정보를 무차별적으로 침해할 수 있는 가능성이 매우 크다.

 보안을 고려하지 않고 전자태그를 개발하면 태그에 대한 무제한적인 접근을 허용하게 된다. 직접접촉을 하지 않아도 되기 때문에 원격통신으로 추적, 정보탐지로 개인정보 수집이 가능하다.

 또 전자태그에 직접 해킹을 걸어 태그 정보를 변조하거나 기능까지 정지시킬 수 있다. 따라서 공항이나 지하철같이 사람들이 운집한 곳에서 판독기를 사용할 경우, 불특정 다수의 막대한 정보를 눈 깜짝할 사이에 해킹할 수 있다. 이렇게 해킹한 정보를 네트워크를 통해 휴포시기는 경우, 속도, 광범위성, 파급력. 어느 면을 봐도 전자태그 해킹의 파괴력은 치명적이다.
 

 전자태그의 해킹 파괴력은 치명적

 전자태그 보안 강화를 위한 연구가 ETRI(한국전자통신연구원) 등 연구기관과 기업에서 진행되고 있기는 하다. 그러나 대체적으로는 전자태그 자체에 대한 보안에만 치중되어있다. 반면 전자태그가 적용된 전체 정보 시스템에 대한 총체적인 연구는 미미하다.

 업계에서는 ‘중요한 것은 전자태그 시스템이 적용된 시스템은 단순한 정보를 보내고 인식하는 기술로만 인식해서는 안 된다’고 경고한다. 전자태그는 전체 정보시스템의 일부이기에 종합적이고 체계적인 접근을 해야지 부분적이 되어서는 안 된다는 이야기다.

 업계의 꾸준한 경고에도 불구, 정보시스템에 대한 기업과 개인의 인식은 관대하다. 심지어 통신망 보호와 개인정보보호마저 지키지 못하거나 최소한의 법적의무를 지키지 않는 기관이나 기업들이 있다.

 지난 해 3월 신세계측에서는 개인정보유출로 사과문을 냈고, 12월 31일에는 초중교교사들을 대상으로 한 원격연수홈페이지에서 해당교사들의 개인정보를 수개월이나 방치한 사실이 들어났다.

 2008년에는 옥션에서 대규모 개인정보유출이 일어났다. 위조, 변조, 해킹바이러스 신용카드를 노리는 움직임도 끊이지 않고 있다. 09년도말 기준으로 신용카드의 IC카드 보급률은 96%에 달한다.

 IC카드를 보급한 이유는 보안성이 상대적으로 뛰어나기 때문이다. 하지만 현재 IC카드를 판독할 수 있는 가맹점은 20~25%정도에 불과하다. IC카드용 단말기가 비싸 설치를 꺼려 보급되지 않았던 것이다.

 그러나 전자태그 구축업체들의 보안 인식은 ‘전자태그 시스템과 전체 정보시스템은 별개이고 시스템에서 발생하는 보안문제는 오직 태그와 리더기 생산업체의 몫’ 수준에 머물러 있다.

 보안업계에서는 ‘전자태그를 정보시스템에 활용하는 기업들이 라이터만한 태그 에뮬레이터를 통해 태그의 유일식별자인 UID(혹은 TID)가 쉽게 복제될 수 있다는 사실을 인지하지 못하고 있다’고 경고하고 있다.

 뿐만 아니라 ‘리더기를 통해 태그를 쉽게 읽을 수 있다는 사실이 정보시스템의 보안에 어떤 영향을 미치는가에 대한 대처는 염두에 들어 있지도 못하다’며 위험성을 강조했다.

 심지어 일부 경비전문업체의 경우, 출입카드처럼 사용되고 있는 방범설정카드(보통 마이페어류)에서는 태그의 유일한 식별자만을 사용해서 등록된 카드 여부만을 확인하고 방범시스템을 설정 / 해제할 수 있도록 하고 있다. 단 한 번의 복제로 경비보안 시스템을 완전히 장악할 수 있는 매우 위험한 일이다.

 이처럼 정보시스템의 보안은 예측불가능하고 어렵다. 보안 관계자들은 보안 시스템을 내재적 속성으로 고려하지 않은 채 인프라 확충에만 치중하는 건 폭탄을 안고 가는 것과 마찬가지라고 지적한다.

 한 업계 관계자는 “교통카드나 신용카드의 경우처럼 인프라가 보급된 이후에는 대책마련도 쉽지 않고 비용도 엄청나다. 시스템 구축단계에서부터 보안을 전체 시스템과 합쳐 시스템을 설계, 구축해야 하는 데 아직 이런 방식이 굳어지지 않았다”라고 밝혔다.

 제 아무리 성능이 뛰어나고 편리해도 정보 보안이 보장되지 않으면, 그 시스템은 끔찍한 재앙으로 돌아 올 수 있다. 지금 미국이나 네덜란드에서는 계속해서 보안에 빨간 불이 들어오고 있다. 보안 강화 및 이에 맞는 대책이 시급하다.

고승주 기자 gandhi55@sisakorea.kr
 
 
  • 도배방지 이미지

  • Joan 2014/08/17 [09:12] 수정 | 삭제
  • http://5ohjuq3e.wikidot.com/coach-online The award does not affect the approximately $13,000 needed for fees and room and board at both schools.Under the program, all students who graduate in the top 10 percent of these high school class and get a combined 1200 score in the reading and math areas the SAT (without the need of score a lot less than 550) or have a composite ACT score of 27 or higher will automatically obtain reduced rate when they enroll at Seton Hall. 5z4igeo4z.wikidot.com/coach-online All of the PUB's mandates has to be researched plus revised, to guarantee it has the tips expected to connect with it has the obligations.Because it is, any PUB's requires are extremely circumscribed, going out of the software to make judgements lacking necessary info to determine wisely. [url=http://rdxez4k7.wikidot.com/coach-online]rdxez4k7.wikidot.com/coach-online[/url] EcsTsYKMai