보안

상거래 사이트들을 활용한 비자 카드 부정거래 확인… IEEE 보고서

Evan Schuman | Computerworld 2016.12.13
비자(Visa) 카드가 복수의 상거래 사이트를 활용해 CVV2(Card security code) 등 필드 값을 제한 없이 추측해내는 공격 방식에 대한 방어 매커니즘을 갖추지 않았다는 사실이 보안 연구자들을 통해 확인됐다.


Credit: Getty Images Bank

이런 연계 공격은 많은 위험성을 지니고 있지만, 다행히 그 결함 내용이 확인됨에 따라 방어 역시 가능하게 됐다. 해당 주제와 관련한 IEEE 보고서를 발표한 뉴캐슬 대학 소속 컴퓨팅 과학 박사 모하메드 알리는 이 보안 결함이 두 가지 문제와 관련되어 있다고 말한다.

첫째로 현재의 온라인 결제 시스템에는 서로 다른 웹사이트들에서 발생하는 복수의 무효 결제 요청을 통합적으로 감지하는 기능이 부재하다. 즉 개별 사이트 당 설정된 10~20회의 결제 시도 제한 안에서 무제한으로 카드 데이터 영역 유추 시도를 진행할 수 있는 것이다.

둘째로, 웹사이트들은 온라인 결제 승인에 서로 다른 카드 데이터 영역 값을 요구하고 있는데, 이 점을 이용하면 일종의 퍼즐처럼, 정보를 꽤나 손쉽게 조합하는 것이 가능하다. 요구 데이터 값의 차이와 결제 시도 제한 회피 두 맹점을 활용하면, 카드 세부 정보를 수집하는 작업은 놀랍도록 간단히 성공했다.

이에 더해 개별 웹사이트들이 자체적으로 적용하고 있는 요구 필드 값 추가를 통한 보안 전략이 환경 전체의 보안 위험도는 증대시킬 수 있음을 알리 박사의 보고서는 지적하고 있다.

이 보고서는 "수집된 특정 영역 데이터를 다른 상거래 사이트에 적용하면 그 다음 값을 연쇄적으로 알아낼 수 있다. 개별 업체의 입장에선 보안 역량 개선을 위해 더 많은 결제 값을 요구하는 것이지만, 공격자의 입장에선 이를 다른 영역 값 추정에 이용할 수 있는 것이다. 무작위 추측 시도를 막기 위해 사이트들에 적용된 입력 횟수 제한 역시 다수 사이트를 통한 분산 추측이 가능한 이상 특별한 효과를 지니지는 못한다"고 설명했다.

비자카드 측은 알리 박사가 지적한 공격은 가상의 방식으로 실현 가능성이 없으며, 자신들은 현실 환경에 대한 표준적 방어 체계를 구축하고 있다고 해명했다.

비자 측은 "실제 환경에서 거래가 승인을 위해선 결제 시스템 내 다층 부정거래 방지 도구의 검토를 거치게 된다. 해당 보고서에는 이 기법에 대한 고려가 이뤄지지 않고 있다. 우리 비자는 부정거래 최소화를 위해 노력하고 있으며, 불법적인 카드 정보 획득, 사용을 제한하기 위해 카드 사업자 및 발행사들과도 긴밀한 협조를 진행 중이다. 우리는 거래 관련 리스크에 대한 개방적인 의사결정을 위해 발행사들과 필요 정보를 공유하고 있으며, 무차별 대입 공격 억제를 위한 소매사 및 카드 발행사들과의 공조 체계 역시 구축하고 있다고 설명했다.

이런 비자의 대응에 IEEE 보고서 작성자들은 자신들이 지적한 공격은 이론적인 내용이 아니라 반박하며, 자신들이 실제 시도를 통해 정보 획득에 성공했다고 밝혔다.

이 보고서는 "거래 처리 후 수분 내 송금이 완료될 수 있도록, 우리는 상거래 사이트에서 상품을 구매하는 방식 대신 카드 정보를 이용해 현금 전송 계좌를 개설하고 해외의 익명 수신자에게 예치금을 송금하는 공격 상황을 시험했다. 해외 계좌로 송금한 것은 공격자의 입장에서 은행이 지급을 중지하고 공격을 억제하기 전에 인출을 완료해야 하는 상황에 적합했기 때문이다(해외 계좌에 대한 지급 중지가 상대적으로 많은 시간과 비용을 요구한다). 웨스턴 유니언(Western Union) 등의 서비스를 통해 익명 계좌로 송금하는 방식을 택한 이유 역시 위와 같다. 우리는 봇을 이용해 카드 정보를 추출하고 그것으로 위조 계좌를 생성해 인도 지역의 수신자에게 예치금을 송금했다. 수분 뒤 승인 이메일이 도착했고, 수신인이 돈을 안전하게 인출한 것 역시 확인할 수 있었다. 최초 계정 생성에서 현금 인출까지 걸린 시간은 고작 27분이었다. 은행의 지급 중지를 회피하기엔 충분한 시간이다"고 설명했다.

이 보고서에는 CVV2 획득 과정에 대한 설명 역시 있었다. 보고서는 "봇은 결제 웹사이트가 시도를 차단하기 전까지 001을 시작으로 가능한 값을 순차적으로 입력하는 단순한 방식으로 CVV2를 알아낼 수 있었다. CVV2 입력과 관련해서는 5~10회의 시도 제한을 설정하고 있는 사이트가 대부분이었지만, 제한 횟수가 50회에 달하거나 아예 제한이 없는 사이트도 많았다. 시험에서 우리는 수십, 수백 개의 결제 시스템에 대한 무차별 대입 공격을 '실행'했다. 이는 실질적으로는 무한한 실행이 가능한 시나리오다. 마지막 단계는 카드 소유자의 주소를 수집하는 것이다. 공격자는 다양한 주소 검증 시스템을 발굴해 소유자의 전체 주소를 확인할 수 있다"고 설명했다.

연구진은 지불 카드 산업(Payment Card Industry, PCI)과 관련한 이슈 또한 제기했다. 연구진은 발견된 복수 사이트 공격 방식을 전망한 PCI 규정이 존재하지 않는다고 지적하며 "PCI 규정에는 판매 사업자에게 온라인 결제 승인 과정에 모든 데이터 영역을 요구하는 어떠한 규정도 존재하지 않았으며, 추가 보안 필터 적용과 관련한 강제 규정 역시 마련되어있지 않았다"고 설명했다.

연구진들이 증명한 바와 같이, 오랜 기간 사각지대로 놓여있던 위협이었던 현금 송금 이외, 전자상거래 역시 큰 취약점이라고 보고서는 전했다.

논의에 앞서, 대부분의 오프라인 상점들은 아직 EMV(Europay, MasterCard, Visa) 규격을 받아들이지 않고 있는 상황임을 밝혀둔다. 즉 공격자들은 획득한 데이터를 이용해 복제 카드를 제작한 후, 아직 EMV가 도입되지 않은 오프라인 상점들에서 사용할 수 있는 것이다.

EMV의 보안 수준을 전반적으로 완벽하다고 말하긴 어렵지만, 카드 복제 시도에 있어서 만큼은 상당히 효과적인 보안 역량을 보여준다. 사업자들의 EMV 배치가 빠른 시일 내 이뤄져야 하는 이유다.

그렇다면 전자상거래 의 취약점은 얼마나 큰 규모일까? 연말인 현 시점에선 평소보다 그 위협이 크다고 말할 수 있다. (오프라인 체인의 온라인 스토어를 포함한) 전자상거래 사업자들에게 연말 시즌에만 한층 더 엄격한 부정사용 방지 기법을 적용하는 것은 현실적으로 불가능한 일이다.

물론 연말이라고 부정사용률 자체가 증가하는 것은 아니지만, 공격에 대한 쇼핑객들의 저항이 보다 낮은 것이 문제의 원인이다. 많은 수의 고객이 기존에 인증 절차를 거치지 않은, 연말 판촉에 이끌려 처음 방문한 상황이기 때문이다.

연말 일회성 쇼핑객 가운데 일부는 정기 고객이 될 수도 있지만, 이를 위해선 그들에게 만족스러운 초기 경험을 제공할 필요가 있다. 만일 구매 과정에서 인증 등의 불편을 느낀다면, 고객들은 다시는 사이트를 찾지 않을 것이다. 충성도가 없는 고객들을 만족시킬 방법은 저렴한 가격표와 편리한 쇼핑 경험 뿐임을 사업자들은 잘 알고 있다.

간단히 말해, 연말 시즌 입력해야 할 데이터 영역을 추가하거나 입력 제한 한도를 낮추는 조치를 원하는 업체는 어디에도 없는 것이다.

연구진이 발견한 이번 취약점이 효율적인 이유는 한두 곳(혹은 2,000곳)의 사이트가 무작위 침투 시도를 차단한다 해도 공격 자체가 좌절되지 않는다는데 있다.

허술한 보안 수준을 자랑하는 무수한 사이트가 존재하는 환경에서, 이 공격은 얼마든지 성공 가능하다. 이 공격을 막을 방법은 프로세서 수준에서의 중앙화 시스템을 구축하는 것이다.

온라인 '전반'에서 발생하는 부정 추측 시도를 제한하는 작업은 카드사들이라면 충분히 가능한 작업일 것이다. 이러한 구조가 마련된다면 복수 사이트 공격 전략의 위협은 단순한 무차별 침투 공격과 같은 수준으로 축소된다.

하지만 현재로선 이러한 시스템은 부재한 상태이며, 상점들에겐 각자의 보안 방법론을 선택할 자유가 보장되고 있다. 보안 방법론과 이에 따른 리스크 감내 수준의 결정에는 예산 문제가 결부되어 있다는 사실 또한 중앙 인증 구조 도입을 어렵게 하는 요인이다.

이 보고서는 또한 비자 카드의 이러한 취약점이 발행 은행과는 무관하게 항시 발견됐으며, 반면 마스터카드의 경우 시도한 분산형 공격을 감지하는데 성공했다고 밝혔다. 연구진은 "이 점에 비춰볼 때, 글로벌 네트워크 통합만 이뤄져 있다면 분산형 공격을 감지, 차단하는 작업은 충분히 가능한 것으로 보인다"고 설명했다.

보고서에 따르면 결제 페이지에 간단한 캡챠(CAPTCHA, Completely Automated Public Turing test to tell Computers and Humans Apart)를 설치하는 것 만으로도 봇 활동을 차단하는 것이 가능했다. 다시 말해, 복수 사이트 공격은 개별 사이트의 보안 수준과는 무관하게 가능했던 것이다.

보고서는 "개별 상점은 결제 게이트웨이 단위에서 보안 기능을 적용할 수 있으며, 이는 해당 웹사이트의 공격을 어렵게 하는 데 분명 도움을 준다. 가장 중요한 역할을 하는 것은 단순히 공격의 무효성을 포착하기에 앞서 동일 IP주소로부터 특정 기간 내 발생하는 반복적 무효 시도를 감지하는 IP주소 속도 필터일 것이다. 하지만 타 게이트웨이들과의 연계가 없다면, 속도 필터 역시 서로 다른 결제 게이트웨이를 사용하는 웹사이트들을 오가며 유추를 시도하는 전략을 통해 손쉽게 무력화될 수 있다"고 설명했다.

비자는 이 공격을 막을 다른 방법 역시 암시하긴 했지만, 이 또한 상거래 업체 전반의 노력을 필요로 하는 과정이었다. 비자 측은 "우리 비자는 선진 전자상거래 보안을 제공하는 3D시큐어(3DSecure) 표준에 기반한 비자 인증(Verified by Visa) 솔루션을 통해 향상된 보안 수준을 제공한다. 3D시큐어는 최근 2.0 규격이 발표됐으며, 비자 역시 이를 반영한 비자 인증을 개발 중에 있다. 비대면 카드 거래에 비자 인증을 이용하지 않는 상점의 경우, 부정거래의 위험이 존재한다"고 밝혔다. editor@itworld.co.kr  

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.