무선통신망 펨토셀의 제어 권한 획득해 도청 및 감청
삼성페이 결제 취소해도 24시간 내 불법 재사용 가능

<대한금융신문=문혜정 기자> 최근 이용자 편의성, 차별성을 강조하는 스마트폰 지급결제 서비스가 다양한 형태로 등장하고 있다 이와 함께 모바일의 무선통신 기술에 대한 보안 위협도 지속적으로 증가하는 추세다.

일반적으로 간편 지급결제 서비스 이용 시 1회용 결제정보를 생성하기 위해서는 금융회사와 통신이 필요하다. 이때 모바일 기기에서는 무선통신망(3G, 4G 등) 또는 무선네트워크(Wi-Fi 등)를 이용해 통신이 가능한데 카드단말기에 결제정보를 전달하기 위해 NFC, 블루투스, MST 등의 무선통신 기술이 사용되고 있다.

금융보안원은 특히 무선통신망에서 주로 이용되는 펨토셀(Femtocell)의 도청, 감청 위협이 발생할 수 있어 주의가 요구된다고 강조했다. 펨토셀이란 기지국 역할을 하는 소형 장치로 일정 범위 내에 스마트폰이 무선통신망을 이용할 수 있도록 기능을 제공하고 있다. 단 제3자가 제어 권한을 획득할 경우 도청, 감청 등의 위협에 노출될 수 있다.

실제 지난 2013년 보안전문기업(360UniconTeam)은 불필요하게 개방된 포트, 펌웨어 취약점, 하드코딩된 접속정보 등을 통해 펨토셀의 제어 권한을 획득해 음성통화, SMS, 데이터 통신 등을 도청하는 시연을 보이기도 했다.

펨토셀의 도·감청 방법은 이동통신망이 아닌 AP(Access Point)를 통해 인터넷에 접속하며 AP의 제어 권한을 획득하면 해당 AP에 접속하는 이용자를 대상으로 중간자(MITM) 공격이 가능하다.

AP접속과 관련된 인증방식의 취약점을 악용하면 제어권한을 획득할 수 있으며 가짜 AP로 접속을 유도해 DNS 조작 후 피싱 사이트로 유도하는 등 다양한 위협이 발생할 수 있다.

저전력 블루투스(BLE, Bluetooth Low Energy) 기술을 결제 프로세스에 활용하는 사례도 증가하며 이에 대한 위협 또한 커지고 있다.

올해 국내 연구진은 블루투스 통신 연결을 위해 채널 생성 시 이용되는 임시 키 값의 길이가 짧아 해당 키 값을 쉽게 알아낼 수 있다는 문제를 지적했다. 2016 BlackHat 컨퍼런스에서는 보안 기능(암호화 통신 등)을 이용하지 않아 중간자 공격, DoS 등의 위협이 발생할 수 있으며 해당 위협을 발생시키기 위한 도구(블루투스 프록시)를 공개했다. 마그네틱 보안 전송(MST) 또한 자기장을 발산해 근거리 결제를 시도하는 기술로 결제기 근처의 스키머를 통해 카드정보 유출 위협이 존재한다.

2016 BlackHat 컨퍼런스에서는 삼성페이로 결제 시도 시 이용자 취소 등으로 토큰 정보가 이용되지 않으면 토큰을 24시간 이내에 재사용할 수 있는 문제가 제기됐다. 최근 국내 연구진은 대형 코일로 만들어진 MST 수신기로 2미터 가량 떨어진 곳에서도 MST 결제 정보 수집이 가능하며 동 위협으로 수집된 정보를 이용해 원격지에서 부정결제 발생이 가능한 점을 포착했다.

간편 지급결제 서비스에서 이용되고 있는 주요 무선통신 기술의 위협은 비인가자 접근, 정보유출, 서비스 거부 등이 존재하며 이에 대응하기 위해서는 물리적, 기술적, 관리적 측면의 보안을 고려할 수 있다.

금융보안연구원 보안연구부는 “스마트폰 이외의 결제단말기에서도 동일한 무선통신 기술을 이용하면 위협에 지속적으로 노출될 수 있으며 해당 기기를 통해 결제정보가 유출되거나 이용자 단말기에 추가 위협을 줘 2차, 3차 피해를 발생시키는데 악용될 수 있다”며 “특히 NFC의 경우 제 3자에 의해 단말기 내부에 저장된 카드 정보가 무단으로 유출될 수 있으므로 보호케이스를 사용하는 등의 보호방안을 고려해야 한다”고 당부했다.