블로그 이미지

my hiding place

삶이 힘들 때, 조금이라도 고개를 들고 위를 보세요. 푸른 하늘이 당신을 맞이해줄 날이 있을 테니까. by nulonge


'Personal Identification Number'에 해당되는 글 1건

  1. 2008.07.03 씨티은행 ATM 해킹당하다

씨티은행 ATM 해킹당하다

어이구야... 인터넷 뱅킹이 위험하다고는 했지만, 이렇게 큰 일이 벌어질 줄은 몰랐습니다. 미국에서 벌어진 일입니다만.

핀(Personal Identification Number) 코드는 신용카드의 IC칩에 저장된 비밀번호로 카드 사용시 단말기를 통해 입력해야 사용할 수 있다. 국내에는 마그네틱 카드 사용이 일반화돼있으나 미국과 유럽은 대부분 핀 코드 방식을 사용하고 있다.

핀 코드는 복잡한 암호화를 통해 비밀번호를 저장, 보안성이 높고 위조가 힘든 것으로 인식돼 왔다. 그러나 이번 사건으로 기존 핀 코드 체계에 대한 신뢰가 무너지게 됐다.

1일(현지 시각) AP통신에 따르면 3명의 해커들이 세븐일레븐에 설치된 시티뱅크의 ATM 네트워크에 침입, 고객의 핀 코드를 유출해 2007년 10월부터 올해 3월까지 수천만 달러를 불법 인출한 것으로 드러났다.

AP에 따르면 해커들은 ATM 시스템의 인프라를 타깃으로 은행 PC의 백엔드 시스템을 공격해 핀 코드를 유출했다. ATM 인프라는 마이크로소프트의 윈도 운영체제를 기반으로 하며 인터넷을 통해 원격에서 ATM 기기의 문제를 진단ㆍ수리할 수 있도록 돼 있다. 또 강력한 암호화를 통해 핀 코드를 유출하지 않기 위한 산업 표준도 마련돼 있다.

출처: 디지털 타임스, 2008.7.2, '절대 해킹 불가라더니'

ATM 시스템의 백엔드를 구성하는 시스템은 마이크로소프트 윈도우였습니다. 개인적으로 마이크로소프트 윈도우도 꽤 괜찮은 시스템이라고 생각하지만, 아쉽네요. 아마도, 자기카드보다 안전하다는 IC 칩 기반 보안 체계를 뚫기는 어려우니 백엔드를 공략해서 정보를 취득한 것 같습니다. 보안이 상대적으로 약한 곳을 공략한 것이죠. 여기서 보안의 불문율을 하나 떠올려도 되겠습니다.

"보안 강도는 가장 보안이 약한 부분에 의해 결정된다."

그러나 여전히, 어떻게 ATM 백엔드에 접근했을까는 의문으로 남습니다.

PS. 정확한 경위야 알 수 없지만, PIN이 해킹당했다고 보기는 어렵지 않을까 싶습니다. 그보다는, 카드에 담긴 PIN 코드를 읽어내는 ATM이 해킹당했다고 봐야겠죠. 백화점에서 각 매장에 비치된 POS 기기도 악성 해커라면 흥미있는 공격대상일텐데. 요즘은 무선으로 연결되는 POS가 많다고 합니다. POS와 연결된 AP를 해킹해서 데이터를 스니핑(sniffing, 몰래 엿듣기)한다든가, POS를 파고드는 공격이 앞으로 발생하지 않을까요... 어디까지나 누렁이 생각입니다.
Comment 0 Trackback 0
Top

prev 1 next