| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 | 31 |
- c언어
- 신경망파이썬
- 인공지능
- C알고리즘
- 백준
- 파이썬신경망
- 신경망구현
- 밑바닥부터시작하는딥러닝
- 활성화함수파이썬
- C언어 알고리즘
- 달고나bof
- BOJ
- 8086CPU레지스터
- 머신러닝
- FTZlevel10
- 스트림암호
- 백준알고리즘
- 알고리즘
- C언어알고리즘
- BOF
- 버퍼오버플로우
- 소프트맥스함수
- 신경망
- 딥러닝파이썬
- 딥러닝
- 보안
- 항등함수
- 신경망 학습
- 파이썬
- 정보보안
- Today
- Total
HeeJ's
[1] FinTech 관련 국내외 보안사고 사례 현황_정보과학회지(2016) 본문
1. 국내 핀테크 관련 보안사고 사례 현황
1) 앱카드 해킹
국내 앱카드는 신한카드를 중심으로 주요 6개의 카드사가 공동으로 스펙을 정의하고 개발하였으며 이는 USIM에 의존하지 않는 응용프로그램 기반의 서비스이다. 이는 USIM에 의존하지 않는 응용프로그램 기반의 서비스이며, 앱카드 사용자는 소유하고 있는 스마트폰에 기존에 사용하던 플라스틱 카드를 스마트폰에 설치된 앱에 등록하여 사용할 수 있다.
많은 가입자를 확보하던 앱카드 서비스는 2014년 앱카드 부정발급이라는 사고가 발생하고 이로 인해 약 6천만원의 금전적인 피해가 발생했다.
공격자는 스마트폰에 설치한 악성 앱을 이용하여 피해 대상자들의 개인정보를 수집한다. 수집한 개인정보를 기반으로 공격자의 스마트폰에 타인의 앱카드를 발급받고 사용하여 부당 이득을 챙기게 된다.
사고 발생 후, 사고 당시 앱카드를 서비스하고 있는 6개 업체에 대해 보안성 검사를 금융감독원에서 진행하였다. 그리고 경찰 조사 과정에서 다른 앱카드 회사에서 부정발급으로 인한 피해가 발생했다는 사실을 확인하였다. 이에 대해 카드사는 피해 고객에게 피해 금액 전액을 보상하였으며 추가적인 대응 방안을 수립하였다.
앱카드 부정발급으로 인한 보안사고로부터 알 수 있는 것은 핀테크 서비스 개발에 있어 중요한 부분을 차지하는 스마트폰과 앱에 대한 이해와 앱에 대한 보안이 필요하다는 것이다. 앱카드의 경우 아이폰과 안드로이드 기반의 스마트폰에서 사용할 수 있는 기능 차이로 인해 인증 프로세스가 서로 상이할 수 밖에 없다.
2. 국외 핀테크 관련 보안사고 사례 현황
1) 스타벅스 자동 충전 기능을 이용한 부정 충전
스타벅스 앱은 멤버쉽 상태를 확인하는 것과 더불어 주문과 결제 기능을 제공하며 결제를 위해 멤버쉽 카드에 충전한 금액을 사용하도록 되어 있다. 그리고 결제를 위해 필요한 충전 금액이 일정 금액 이하로 떨어지면 자동으로 일정 금액을 결제하고 충전할 수 있는 기능을 제공한다. 이와 같은 자동 충전 기능을 이용하면 사용자에게 쿠폰을 제공하는 등의 이벤트를 통해 사용자들이 자동 충전 기능을 적극적으로 사용하도록 유도하고 있다. 그러나 이와 같은 자동 충전 기능을 이용하여 2015년 5월 공격자가 사용자 멤버쉽 카드에 충전된 금액을 탈취하는 사고가 발생하였다.
스타벅스 앱의 자동 충전 기능을 악용한 공격은 스타벅스 앱이 취약점을 갖고 있기 때문에 발생한 사고라고 볼 수는 없다. 스타벅스 앱의 사용자들이 보다 편리하게 서비스를 이용할 수 있도록 하기 위해 만든 프로세스를 공격자들이 악용한 것이다. 간단히 그리고 편리하게 서비스를 제공하기 위해 새롭게 만든 프로세스가 공격자들에 의해 악용될 수 있다는 것을 보여준 사례인 것이다.
또한 과거 스타벅스 앱에서는 사용자 데이터를 암호화하지 않고 저장하여 문제가 되기도 하였다. 당시 암호화하지 않고 저장한 사용자 데이터는 스타벅스 계정, 패스워드, 이메일이었다.
2) Payment SDK를 이용한 피싱 취약점
트렌드마이크로 연구원은 Google Wallet과 Alipay의 결제 SDK의 취약점에 대해 분석 결과를 내놓았다.
일반적으로 결제 SDK로 결제 요청을 하면 다음 그림과 같은 화면을 사용자 스마트폰에 띄워주고 사용자가 결제를 진행할 수 있도록 한다. 그리고 결제 요청을 결제 SDK로 전달하기 위해 안드로이드 시스템에서 Intent라는 메시지 오브젝트를 사용한다.
그러나 공격자가 악성 앱을 통해 결제 SDK가 사용하는 Intent를 악용하여 사용자가 결제를 위한 정보를 입력하도록 유도할 수 있다. 그리고 사용자가 결제를 위해 계정 정보를 입력하면 공격자는 이를 활용하여 계정에 저장된 결제 정보를 악용할 수 있다.
이는 앞서 언급한 스타벅스 자동충전 기능으로 인해 발생한 사고와 유사한 부분이 있는데, 결제 정보를 담고 있는 계정 정보를 탈취하고 이를 기반으로 부정 결제가 가능하기 떄문이다.
[출처] https://koreascience.kr/article/JAKO201613753019079.pdf