EMV(IC)카드를 마그네틱 카드로 바꾸고, 실제 거래까지 가능했다는 연구 결과가 나왔다.
EMV카드를 마그네틱 카드로 복제한 사례는 십여년 전에도 등장했다. 그러나 여전히 복제 방법이 유효하다는 점에서 은행사들이 보안에 소홀한 모습을 보이고 있다는 지적이다.
미국지디넷은 영국 사이버보안 연구소인 사이버R&D랩 상업용 보안 연구 책임자인 레이 앤 갤로웨이가 진행한 이번 연구 결과를 지난 11일 소개했다.
갤로웨이는 미국, 영국, 유럽연합(EU) 11개 은행의 카드로 연구를 진행했다. 스키머, 쉬머 등 카드 정보를 훔치는 장치를 통해 이 중 네 개의 카드를 마그네틱 카드로 복제할 수 있었다.
일반적으로 EMV카드는 결제 정보가 암호화되고, 거래할 때마다 인증 코드를 생성하기 때문에 보안 위협으로부터 안전하다고 알려져 있다. 그러나 상대적으로 보안에 취약한 마그네틱 카드에 EMV카드 정보를 복제하고, 실제 거래 과정에서도 복제한 카드를 사용할 수 있었던 것이다.
이렇게 복제된 카드는 EMV카드가 도입되지 않은 제3세계 국가에서 POS기를 통해 부정결제하거나, ATM으로 현금을 인출하는 등의 방식으로 악용될 수 있다.
갤로웨이는 EMV카드를 마그네틱 카드로 복제하고, 결제할 수 있는 이유들을 설명했다.
그에 따르면 EMV카드와 마그네틱 카드 기술 표준 간의 공통 분모를 통해 카드 소지자의 정보를 파악하고, 다른 카드로 복제할 수 있었다.
마그네틱 카드 결제를 지원하는 지역이 여전히 존재하는 등 EMV카드 도입이 느리다는 것도 카드 복제 및 거래를 가능케 한 원인이 됐다.
더 이상 마그네틱 카드를 결제 수단으로 채택하지 않는 국가이더라도 단말기, 카드 때문에 복제된 카드로 결제가 가능한 경우도 있었다.
결제 과정에서 카드 발급사가 CSC, CVV, CVC 등 카드 보안코드를 확인하지 않았기 때문에 이런 부정결제가 가능했다.
관련기사
- 韓 카드 정보 100만건 '다크웹'에서 거래되고 있다2019.09.04
- 제로금리 시대에 7.9% 적금 어떻게 가능할까2020.07.07
- "디지털ID 표준 만들자"...IBM·마스터카드, 리눅스재단 아래 뭉쳤다2020.05.06
- 카카오뱅크 신용카드 2만4천장 신청...흥행 '청신호'2020.05.01
갤로웨이는 미국지디넷에 카드 발급사가 각 카드별로 보안코드를 고유하게 설정해야 하고, 이 코드가 유효한지 항시 검증할 수 있어야 이같은 문제를 줄일 수 있다고 강조했다.
갤로웨이는 EMV 카드 외 NFC 기반 비접촉식 카드도 같은 방식을 이용해 마그네틱 카드로의 복제가 가능하다고 첨언했다.
