카드 결제 방식 분석 및 복사 연구(Magnetic, RFID, IC)

Hardware
Research

라온화이트햇 핵심연구팀 황정식

우리가 일상에서 사용하는 카드 결제 방식은 대략 세 가지 정도가 있습니다. 예전부터 사용했던 마그네틱 카드(Magnetic Card)가 카드 결제에 대표적인 예시입니다. 그러나 카드 복사와 다른 보안성 문제로 인해 다른 대체제가 필요로 하게 되었습니다. 이로 마그네틱 카드의 대체제로써 RFID Tag, IC Chip 등이 있으며, 현재 직불카드(체크카드와 신용카드 등)에 부착하여 널리 사용되고 있습니다.

/assets/2021-03-01/sik_.png

이번 연구에서는 위의 세 가지 카드 결제 방식에 대해 복사가능여부에 대한 연구와, 보안성에 대한 내용을 다뤄보겠습니다.

1. 마그네틱 카드

마그네틱 카드는 신용카드의 도입에 큰 역할을 한 기술이라고 볼 수 있습니다. 기존의 신용카드(Credit card)는 종이 재질의 카드로써 배포되었었습니다. 하지만 이러한 종이 재질의 카드로써는 불편함과 신용인에 대한 확인에서부터 많은 시간이 소요되는 단점이 있었습니다. 이를 개선하기 위해 등장한 기술이 마그네틱 기술입니다.

/assets/2021-03-01/sik_1.png

마그네틱 카드는 전류를 통해 마그네틱 띠가 자화되는 원리를 이용하여 정보를 기록하고, 이와 반대 방향으로 자기 방향을 변화하면 유도전류를 흘려 마그네틱 띠 내부의 정보를 읽을 수 있도록 하는 구조입니다.

/assets/2021-03-01/sik_2.png

마그네틱 카드의 구조는 대략적으로 이렇게 구성되어 있습니다. 이 부분에서 눈여겨 봐야 할 부분은 Track 1과 Track 2의 부분입니다.

/assets/2021-03-01/sik_3.png

Track 1과 Track 2에는 공통적으로 고객번호(Primary Account Number) 19자ED(Expiration Data or Date)와 같은 만료날짜, SC(Service Code) 서비스 코드, 그리고 CVV/CVC(Discretionary Data)가 기록되어 있습니다. Track 1에는 Track 2에 비해 이름 등과 같은 이용자의 정보가 좀 더 들어가 있습니다.

이러한 카드정보를 어떻게 알아낼 수 있는지, 그리고 카드 복사는 어떻게 이루어지는지에 대해 연구해본 내용은 다음과 같습니다.

※ 본 연구는 오로지 직불카드 내의 마그네틱 정보의 취약성을 연구하기 위해 연구자 본인의 카드 정보를 읽는 과정을 나타내었습니다.

2. RFID Tag

RFID란 Radio Frequency IDentification의 약자로, 무선 주파수(Radio Frequency)를 이용하여 특정 대상을 식별할 수 있는 기술을 말합니다. RFID Tag를 통한 식별(결재, 인증 등) 과정은 다음과 같이 나타낼 수 있습니다.

3. IC Chip

IC Chip을 이용한 결제 방식은 접촉식과 비접촉식으로 나누어져 있다고 합니다. 하지만 여기서는 접촉식 IC Chip에 대한 보안성과 카드복사 가능성에 대해 다루어보려고 합니다.

IC Chip은 Integrated Circuit Chip의 약자로써, 집적 회로(Integrated Circuit)를 이용하여 특정 대상을 식별할 수 있는 기술을 말합니다. 흔히 신용카드나 체크카드에 붙어있는 금색 칩을 보셨을 것입니다. 이러한 칩은 다음과 같이 이루어져 있습니다.

/assets/2021-03-01/sik_13.png

IC Chip 혹은 Smart Chip이라고도 불리며, 이러한 칩의 구성은 CPU와 RAM, ROM(혹은 OS, EEPROM 등)으로 이루어져 있으며, 자체적인 암호화 모듈(Encryption Module)도 함께 내장되어 있기도 합니다. 이러한 칩 내부에는 하드웨어 및 Card OS와 같은 운영체제로 동작하는 부분과 Java Card Platform과 같은 SW 규격을 맞춘 데이터가 내포되어 있습니다. 이는 카드 자체의 연산 능력이 있다는 것을 말합니다.

신용카드의 경우 EMV(EuroPay-MasterCard-Visa)의 포맷에 맞추어 개발되며, 암호화 키 및 PIN 번호를 활용하여 결제를 가능하도록 합니다. 이러한 EMV 내부에서도 각 국가마다 이해관계가 달라서 다음과 같은 차이를 가지기도 합니다.

유럽의 경우 카드를 꽂고 PIN 번호를 입력해야 결제가 가능(해외에 신용카드 가지고 나갈 시, PIN 번호 발급이 필수) 한국과 미국의 경우 카드만 꽂아도 결제가 가능(PIN Bypass 모드 사용)

IC Chip의 보안적 특징은 암호화된 카드는 처음 만들어진 공개키 암호화 인증서를 이용하여 암호문을 생성하고, 정상적인 암호인지 확인할 수 있는 장치를 마련해두었습니다. 이렇게 생성된 암호문은 항상 일정하지 않고 매 결재 시 마다 변경되며, 암호화된 코드는 겹치지 않도록 설계되었습니다.

4. 결론

카드 결제 및 카드 복사 관련하여 각각의 기술이 어느정도 취약한지에 대해 연구해보았습니다. 마그네틱 카드는 보안성을 고려하지 않은 상태로 설계되어 특정 도구 및 장비만 있다면 어렵지 않게 읽고 쓰기가 가능하며, 정보만 알고 있다면 쉽게 복사가 가능한 것으로 나타났습니다. 그러나 이후에 보안성을 고려한 두 가지 기법으로 RFID와 IC Chip은 보다 안전한 사용이 가능할 것으로 판단됩니다.

먼저 RFID의 경우, 내장된 6Bytes 키로 인해 적절한 인증이 이루어지지 않으면 카드를 읽을 수 없도록 설계되어있습니다. 일반적인 방법으로 전수공격(Bruteforce Attack)을 수행할 경우 인증 키를 탈취하는 것은 어렵습니다. 그러나 해당 Key를 알아낼 수 있다면, 복사 자체는 어렵지 않는 것으로 판단됩니다. 그외의 카드 복사가 아닌 타인의 카드를 사용할 수 있도록 Side Channel Attack 또한 활발히 연구되는 것으로 알려져 있어, 보안성 자체는 마그네틱 카드보다는 우수하나 IC Chip보다는 부족한 것으로 보입니다.

마지막으로 IC Chip의 경우, 내장되어 있는 공개키, 서명된 값 등을 통해 안전한 통신 및 식별 과정이 이루어지기 때문에 앞서 연구한 두 카드보다 월등한 보안성을 가지고 있습니다. 이론적으로 IC Chip 내부의 데이터를 읽고 복사하는 것은 불가능하며, 암호 인증 체계 또한 우회하기 어렵도록 되어있습니다.

위의 연구한 세 가지 카드 결제 방식에 대해 보안성과 복사 가능성 등을 연구해보았고, 이를 통해 안전한 결제 방식과 안전한 결제를 위해 필요한 보안성에 대해 알아보았습니다.