지금 여러분의 지갑에는 몇 종류의 카드가 있나요?
그리고 오늘 그 카드를 어디에서 어떻게 사용하셨나요?
일상 생활에서 흔히 사용하는 카드…편리함만큼 보안 위험 또한 크다는 것을 알고 계신가요?
오늘은 ‘LG CNS와 함께 하는 보안컨설팅 A to Z’ 첫번째 연재로
[출입카드 복제 문제를 통해 살펴본 카드보안 대응 방안]에 대해 말씀 드리겠습니다.
현대인의 필수품 ‘카드’, 그 유형별 특징
여러분은 거의 매일 카드를 사용하시죠?
먼저 우리가 사용하는 카드의 유형부터 살펴 보겠습니다.
카드는 크게 ‘MS(Magnetic Stripe)카드’와 ‘칩(Chip)카드’로 나뉩니다.
MS카드는 카드 뒷면에 자기 성질을 띈 검정띠에 가입자의 정보가 기록된 카드로, 예전부터 신용카드, 현금카드, 포인트카드 등으로 널리 사용되었습니다.
IC(Integrated Circuit)카드라고 불리는 칩카드는 IC 칩이 내장되어 있으며, IC 칩의 역할에 따라 다시 분류할 수 있는데요. 크게 단순 정보를 저장하는 ‘메모리카드’와 암호화, 연산 수행이 가능한 ‘스마트카드’로 나뉩니다.
카드 유형별 세부 설명과 사례는 아래의 표를 참고하십시오.
이처럼 카드는 점점 진화된 유형과 기능을 갖췄지만, 보안은 여전히 완벽하지 못한 편입니다. 특히 복제의 위험이 도사리고 있습니다.
손쉬운 카드 복제가 가능해진 이유
먼저 아래의 언론 보도 2건을 살펴 보시지요.
- [현장추적] ‘카드 출입증’ 1분이면 복제…정부청사도 뚫려
(2015년 1월 30일 KBS 9시 뉴스, 출처:
http://news.kbs.co.kr/news/NewsView.do?SEARCH_NEWS_CODE=3012092&ref=A)
- 교통카드 해킹… 삐뚤어진 천재소년
(2014년 6월 14일 서울신문,
출처: http://www.seoul.co.kr/news/newsView.php?id=20140614008014)
위 언론보도를 보면, 해킹을 당했다고 언급된 출입카드와 교통카드의 공통점이 있습니다.
바로 칩(Chip)카드 중에서도 ‘비접촉식 메모리 카드’라는 것입니다.
하지만 보도에서도 알 수 있듯이 물론 모든 교통카드가 비접촉식 메모리 카드는 아닙니다. 현재 서울시의 고급형 교통카드 티머니(T-Money)는 ‘비접촉식 스마트카드’를 사용하고 있으니까요.
그렇다면 ‘메모리카드’는 왜 이러한 복제의 위험이 있는 것일까요?
이는 카드의 동작방식과 출입통제방식의 차이 때문이라고 할 수 있습니다.
일반 ‘메모리카드’의 경우, 메모리 영역을 모두 읽어서 비어 있는 메모리카드에 읽었던 정보를 그대로 복사할 수 있습니다. 구현 원리를 간단히 요약하자면, 일반 컴퓨터에서 USB 등의 저장 매체에 데이터를 복사하는 것과 유사하다고 생각하시면 됩니다.
반면 ‘스마트카드’의 경우 출입통제장치인 단말기와 스마트카드 사이에 그들만이 알고 있는 특별한 키가 있는데요. 이를 이용하여 서로를 인증한 뒤 정보 교환이 이루어지므로, 카드 복제의 위험이 낮은 것입니다.
그러나, 스마트카드가 아닌 메모리카드를 사용하고 있다면, 복제는 피할 수 없습니다.
또한 최근에는 이베이(Ebay) 같은 해외 사이트에서 해당 메모리방식의 카드 복제 도구를 50달러 정도로 손쉽게 구할 수 있는데요. 이는 위에서 살펴본 보도영상에서 나왔던 카드 복제 도구와 유사합니다.
특히 교통카드가 아닌 일반 사무실 출입카드나 집의 키카드 등은 오히려 복제가 더 간편합니다. 대부분의 출입통제장치는 메모리카드 안의 정보를 읽기 전에 단순히 칩의 시리얼 번호(CSN: chip serial number)만을 읽고, 해당 칩의 시리얼 번호가 출입이 허용된 목록에 있는지를 단순 비교한 후, 출입문이 열리는 형태로 구현되어 있기 때문입니다.
이런 방식은 일반적으로 칩 시리얼 번호를 쉽게 변경할 수 없고, 처리 속도가 빠르다는 장점 때문에 대부분의 출입통제 솔루션에서 활용되고 있습니다. 그러나 이러한 시리얼 번호 역시 복제 도구를 이용하면, 손쉽게 복사가 가능한 것이 현실입니다.
또한 매년 해외의 각종 보안 콘퍼런스에서는 다양한 복제 방법 및 무력화 방식이 소개되기도 합니다. 2008년 무렵, 실제로 당시 메모리카드를 사용 중이었던 영국의 교통카드인 ‘오이스터(Oyster) 카드’가 복제 가능하다는 사실이 해커를 통해 증명되기도 했습니다.
이처럼 스마트카드가 아닌 메모리 방식의 카드가 복제되는 것은 예전부터 있었던 일이죠. 그러나 메모리카드의 이러한 취약점이 개선되지 않고 머물러 있었던 것만은 아닙니다.
시장에서는 조금 더 보안에 안전한 카드들을 만들어 내기 시작했고, 더 안전하다고 알려진 스마트카드를 이용해야 한다는 움직임이 일어나기 시작했습니다. 하지만 기업들은 카드 자체에 내재되어 있는 이러한 취약점을 큰 ‘위험’으로 보지 않았습니다. 그래서 상대적으로 훨씬 저렴한(스마트 카드의 약 1/10 가격) 메모리카드를 계속 이용해 왔습니다.
하지만 메모리카드에 대한 공격 시도는 지속적으로 발생했고, 시간이 지날수록 해커의 수준 역시 향상되면서 다양한 자동화 도구들이 나오기 시작했습니다. 그리고 지금처럼 아주 저렴한 가격의 복제 도구들을 시장에서 손쉽게 구입할 수 있는 상황에 이르렀습니다.
예전에는 복제를 위해 실험실 수준의 장비들이 필요했다면, 이제는 마음만 먹으면 누구나 카드 복제 도구를 만들 수 있게 된 것이죠. 심지어 이렇게 만든 도구들은 인터넷을 통해 전 세계 누구에게나 판매도 할 수 있습니다. 우리는 생각보다 심각한 상황 속에 처해 있는 것입니다. 그렇다면 이러한 문제에 대한 대응 방안은 무엇일까요?
보다 안전한 스마트카드 보안 솔루션
앞서 살펴본 것과 같은 외부 환경의 변화를 우리는 흔히 ‘위협(Threat)’이 증가한다고 표현합니다. 예전에는 흔하지 않았던 공격이 시간이 지날수록 점점 손쉬워지고 흔해지고 있는데요. ‘발생 가능성(likelihood)’이 증가한다는 표현 역시 같은 의미로 생각하시면 됩니다.
위의 표처럼 보안문제 위험에 대응하기 위한 전략은 네 가지가 있습니다.
그리고 이 네 가지 전략 중 어느 하나를 선택하는 것은 각 회사의 상황과 비용 대비 효과 분석을 통해서 이루어집니다. 카드 복제 위험의 경우, 예전에는 기업들이 발생 가능성이 매우 낮은 것으로 보고 주로 ‘수용’하는 입장에 있었습니다.
하지만 최근에는 카드 복제가 점점 쉬워지면서 발생 가능성이 상당히 높아졌죠.
따라서 기업이 취해야 하는 전략에 수정이 필요한 상황이 되었습니다. 다시 말해, 지금까지 안전하지 않은 메모리카드를 이용하고 있었다면, 이를 보완해야 한다는 뜻입니다.
‘보안은 가장 취약한 만큼 안전하다’라는 말이 있습니다.
위 그림은 전체적인 보안 수준이 높아도 특정 영역 한 곳이 취약하다면, 정보는 그 취약한 곳을 통해 유출될 수 있다는 것을 표현해 주고 있습니다. 즉, 어느 기업의 보안 수준이 아무리 높아도, 한 곳이라도 취약한 부분이 있다면 그 기업의 보안 수준은 낮다고 볼 수 있습니다.
많은 기업들이 중요한 자산을 지키기 위해 큰 비용을 들여 정말 다양한 보안 솔루션을 도입하고 있습니다. 그러나 이러한 상황에서 출입카드 복제를 통해 직접 사업장에 들어와 정보를 유출한다면, 기업들의 모든 노력은 물거품이 되는 것이죠. 그러므로 기업들은 최근의 보안 이슈를 지속적으로 점검하고 회사의 보안 위험을 식별하여, 대응 방안을 찾는 노력을 게을리하면 안 될 것입니다.
한 예로 LG CNS의 ‘SafeZone IDP 솔루션(출입통제 솔루션)’의 경우, 카드 복제 위험에 대한 대응 방안으로 안전한 스마트카드를 이용한 인증 처리 방식을 사용하고 있습니다. 그동안 LG CNS는 서울시 교통카드, 대한민국 전자여권, 콜롬비아 교통카드 등 국내외 굵직한 스마트카드 사업을 이끌어 왔습니다. 이러한 경험에서 축적한 안전하고 보안성 높은 솔루션을 시장보다 앞서 고민하고 제시한 해결책이 바로 ‘SafeZone IDP 솔루션’ 입니다.
지금까지 손쉬운 카드 복제가 가능한 현황을 살펴보고, 문제의 심각성과 대응 방안에 대해 함께 생각해 보았습니다. 이어서 2편에서는 [통합보안 관리 솔루션 구축 시 고려사항]에 대해서 알아보도록 하겠습니다.
글 l LG CNS 보안컨설팅팀
[‘보안컨설팅 A to Z’ 연재 현황 및 향후 계획]
● 1편 출입카드 복제 위험 : http://blog.lgcns.com/737
● 2편 통합보안 관리 솔루션 구축 시 고려사항 : http://blog.lgcns.com/751
● 3편 의료분야 개인정보보호 위반사례 및 대응방안 : http://blog.lgcns.com/779
● 4편 보안 위험 분석 방법론의 한계와 발전방향 :
http://blog.lgcns.com/812 (上)
http://blog.lgcns.com/813 (下)
● 5편 물리보안 동향 : http://blog.lgcns.com/856
● 6편 보안관리체계 도입하기 : http://blog.lgcns.com/869
● 7편 IoT 보안 취약점 및 대응방안 : http://blog.lgcns.com/896
● 8편 금융권 망분리 가이드라인 : http://blog.lgcns.com/922
● 9편 전자문서 보안 : http://blog.lgcns.com/945
● 10편 공공기관 모바일 보안