12월 4일자 조선닷컴 사회면 기사에
안전결제(ISP방식) 해킹에 따른 책임 공방이 벌어지고 있다. 라는 기사 글이 실렸다.
경찰측의 주장은 결제시스템이 뚫렸다고 말하고, 카드사는 고객 PC가 해킹당해 피해가 발생하였다 라고 주장한다.
사건의 전말은 30만원 이상 온라인 결제는 공인인증서를 사용해야 하는 점을 고려해, 30만원 미만 금액을 여러 번 결제해 게임사이트 '넥슨'의 게임아이템을 샀다. 과거 ISP 해킹은 일단 개인의 신용카드 정보를 빼낸 뒤 'ISP 인증서'를 재발급받아 이뤄졌다. 그러나 이번엔 범인이 다수의 ISP 정보를 통째로 해킹했으므로, ISP 인증서를 재발급 받을 필요가 없었다. 피해자들은 해킹 사실을 전혀 몰랐다가 결제 내역만 통보받았다. 이 탓에, 경찰은 "ISP 시스템 자체가 해킹됐을 가능성이 크다"고 본다.
하지만 **카드와 **카드의 암호화된 ISP정보를 관리하는 비피(VP)에서는 "두 카드사의 고객 정보가 담겨 있는 회사 서버에 외부 세력이 침입하거나 해킹한 흔적이 없는 것으로 확인됐다"고 해명했다.
아래의 그림을 참고하여 보자.
<국내 온라인 카드결제 시스템>
국내 온라인 카드결제 시스템은 크게 '안심클릭'과 '안전결제'로 나뉜다.
안심클릭은 결제 때마다 카드번호, CVC번호, 안심클릭 비밀번호 등을 입력하는 방식이며, 간단한 키보드 후킹기술이나 그 기능을 수행하는 악성코드만 있으면 해킹할 수 있다. 2010년 1월에 메이저 4개 카드사의 안심클릭 정보가 대규모로 해킹 돼 2200여건의 비정상적인 결제가 이뤄지고, 1억8천여만원의 피해가 발생했다.
안심클릭 방식을 보완한게 ISP(안전결제)방식 이다. 이 방식을 이용하려면 최초 사용 시 카드번호, CVC번호, 카드 비밀번호, 카드 유효기간을 입력하고 별도의 비밀번호까지 만들어야 한다. 현재 대부분 안전결제 시스템 방식을 사용한다. 이렇게 발급받은 'ISP인증서'를 개인 PC나 휴대전화, USB등에 다운로드 하고, 카드 결제 시 별도의 비밀번호만 입력하여 결제한다.
이 사건과 관련해 ***고려대 정보보호 대학원장은 "근본적으로 이번 사건은 현행 온라인 결제 시스템 자체에 '이상'이 있다는 경고" 라고 말했다.
서울경찰청 수사 관계자 역시 "카드사 측에선 온라인.모바일 결제방식이 '안전하다'고 광고하지만 , 소액 결제 시에도 매번 공인인증서나 휴대전화 인증서를 거치도록 안전성을 보완해야 한다" 고 말했다.
참고 및 원본기사
http://news.chosun.com/site/data/html_dir/2012/12/04/2012120400118.html?news_top
정보보안의 중요성을 심각하게 느낀다.
현행의 온라인 결제 시스템에는 분명 무엇인가 문제가 있다. 아직 크게 이슈가 되지 않았고, 직접적인 피해가 나 혹은 우리 주위에 일어나지 않아서 불감증을 느끼지만, 앞으로 스마트폰의 사용과 휴대용 디바이스들의 사용량이 증가함에 따라 온라인 결제 시장도 더욱 활발 할 것이다. 소 잃고 외양간 고치는 식이 아닌 정말 문제를 똑바로 직시하여 정부 및 시행사는 현실에 맞는 정책과 대비책이 필요하고 사용자에게는 올바른 사용방법 및 기본적인 보안 숙지사항을 익히고 있어야 할 것 이다.
'IT > 해킹보안' 카테고리의 다른 글
| 지금 온라인 세상에선 '파밍'과의 전쟁 중 (0) | 2012.12.06 |
|---|---|
| 키워드로 돌아보는 2012년 10대 보안위협 (0) | 2012.12.06 |
| 국방 관련 내용의 0-day 취약점 악용 한글 파일 (0) | 2012.12.01 |
| 미국, 사이버도시 만들어 해킹 방어 훈련 (0) | 2012.11.30 |
| 바이러스,스파이웨어&애드웨어, 악성코드, 멀웨어[malware] 그리고 익스플로잇? (0) | 2012.11.27 |
댓글