G05-7182802122

카드앱 허점과 안드로이드와 아이폰의 취약점... 개인도 보안에 신경쓸 때

NSP통신, 안민지 기자, 2014-05-13 18:29 KRD7
#iOS #안드로이드 #취약성 #보안 #스미싱

(서울=NSP통신 안민지 기자) = 카드앱의 허점과 스마트폰 운영체제의 취약점을 노린 앱카드 범죄가 발생했다.

지난달 중순 삼성카드는 이상거래감지시스템(이하 FDS)를 통해 이상 거래를 발견했다.

범행 피해자는 53명의 안드로이드 기반의 소유자로 300여건, 6000만원 규모로 파악됐다. 관련 피해자들에게 확인을 한 삼성카드측은 이를 경찰청과 금융당국에 자진신고했다.

G03-9894841702

이 사건은 스미싱을 이용해 일어났다.

스미싱은 문자메시지(SMS)와 피싱(Phishing)의 합성어로 문자를 통해 친근한 글을 올려 보는 사람으로 하여금 링크된 주소를 누르도록 유도한다. 그리고 그 순간 소액결제나 단말기 내 정보가 빠져나가는 것이다.

스미싱 일당은 두 가지 운영체제의 단점을 파악, 범행을 실행한 것으로 보인다.

우선 안드로이드가 스미싱에 약하다는 취약점을 노려 공인인증서 정보를 탈취했다. 그 후 iOS의 취약점을 노려 앱카드 인증때 이를 이용했다. 기존의 안드로이드폰에 앱카드를 설치하지 않았을 시, iOS운영체제에서는 유심칩에서 해당기기 번호정보를 끌어내지 못해 공인인증만으로 인증된다는 점을 악용한 것이다.

현재 공인인증을 통한 인증은 앱카드를 운영하는 6개사(농협은행, 삼성카드, 신한카드, KB국민카드, 롯데카드, 현대카드) 12일 오후를 기점으로 모두 불가능하다.

현대카드는 운영당시부터, 롯데카드는 지난 3월부터 공인인증서를 통한 인증을 막았다.

금융당국은 이 때문에, 현재 추가적인 피해가 더 있는지 조사중이며, 이러한 앱카드의 허점을 보완해 차후 문제없는 인증을 위한 시스템을 설계중이다.

한편 일부 매체가 보도를 통해 ‘특정 카드사에 앱카드 부정방지시스템이 있다’는 의혹 제기는 사실과 다른 것으로 확인됐다.

앱카드는 6개사가 공통으로 개발해 각각 운영하고 있다.

모든 카드사는 FDS를 운영중이고, 이를 통해 상황을 판별하고 이상거래를 추적해 지급 결정을 내린다. 앱카드 역시 특정 전용 시스템이 따로 있는 것이 아니고 이러한 FDS를 통해 이상거래를 판별한다.

6개 카드사를 모두 확인해 본 결과 아이폰의 경우 인증방식에 따른 각 사의 차이가 있었을 뿐, FDS에서는 큰 차이가 없는 것으로 나타났다. 실제 이번 삼성카드 앱카드 범죄는 FDS를 통해 발견, 피해규모를 파악하고 지급 정지해 금융사고로 이어지는 것을 막은 것으로 알려졌다.

한 카드업계 관계자는 “카드사는 금융사고에 매우 민감하고, 이미지 타격이 심하다. 그렇기에 FDS 기술 강화에 힘쓰고, 보안에 최선을 다하고 있다”며 “하지만 스미싱으로 탈취된 정보의 경우 시스템내에서 판별하기 힘들기에 이용자 역시 스미싱에 당하지 않도록 주의가 필요하다”고 강조했다.

archive@nspna.com, 안민지 기자(NSP통신)
<저작권자ⓒ 한국의 경제뉴스통신사 NSP통신. 무단전재-재배포 금지.>