0xNews - 마스터카드 / 비자카드 결제 방식을 통한 새로운 형태 공격 공개

ETH 취리취 외 각 대학 보안 연구그룹 발표

POS 단말기를 속여 피해자의 마스터카드를 비접촉식으로 거래하여 속이고 비자 카드라고 믿게함

이번 발표는 이미 2019년 9월 PIN 우회 공격이란 연구를 통해 발표

공격자가 피해자가 도난당하거나 분실한 비자 EMV 지원 신용 카드를 활용하여 이익을 얻을 수 있음을 확인

카드의 PIN 을 모르고 구매하고 단말기를 속여서 인증되지 않은 오프라인 카드 거래가 발생하도록 함

이는 단순한 카드 브랜드 혼합이 이루어낸 결과가 아니라 더 큰 중대한 결과를 초래할 수도 있음

공격자는 마스터카드의 PIN 을 우회하기 위해 비자카드에 대한 이전 공격과 함께 사용 가능

이번 연구는 USENIX Security Symposium 2021 에서도 발표 예정

연구팀은 2019년 발견한 문제점을 전달

마스터카드측은 네트워크 수준에서 이러한 공격을 막기 위한 방어 메커니즘을 구현했음을 공개

비자카드와 관련된 이전 공격과 동일하게 이번 연구 공개 내용도 널리 사용되는 EMV 비접촉 프로토콜 contactless protocol 에 존재하는 취약점 악용

상위 수준에서 이는 릴레이 공격 아키텍처 위의 중간자 공격 Man in the Middle MitM 구현을 위한 안드로이드 애플리케이션을 사용하여 성공

앱이 양종단 끝 - 터미널과 카드 - 서로간 메시지를 서로 시작할 수 있도록 함

NFC 혹은 WiFi 통신을 가로채거나 조작하여 카드 브랜드와 결제 네트워크간의 불일치를 공격

이렇게 되면 발급된 카드가 마스터카드나 비자카드 브랜드인 경우

EMV 거래를 촉진하는데 필요한 승인 요청이 해당 결제 네트워크로 라우팅

결제 단말기는 기본 계좌 번호 PAN Primary Account Number 혹은 카드번호와 카드 유형을 고유하게 식별하는 애플리케이션 식별자 AID Application IDentifier 의 조합을 사용

브랜드를 인식한 후 이를 사용하여 트랜잭션에 대한 특정 커널을 활성화

EMV 커널은 EMV 컨택 혹은 비접촉 트랜잭션을 수행하는데 필요한 모든 처리 로직과 데이터를 제공하는 기능 세트

연구팀은 이번 공격을 카드 브랜드 믹스업 Card Brand Mixup 이라 지칭

AID 가 결제 단말기에 대해 인증되지 않는다는 사실을 이용

단말기가 결함이 있는 커널을 활성화하도록 속일 수 있으며, 더 나아가 결제를 처리하는 은행도 속일 수 있다고 파악

판매자를 대신하여 PAN 이나 다른 카드 브랜드를 나타내는 AID 를 사용하여 비접촉 거래를 수행

이후 공격자는 단말기로 비자카드 거래를 수행하고 마스터카드 거래를 동시에 수행

하지만 이러한 공격이 정상적으로 이루어 지려면

해당 수신자에게 전달하기 전 단말기의 명령과 카드 응답을 수정할 수 있을 뿐만 아니라 피해자의 카드에 접속할 수 있어야 가능

하지만 연구팀은 EMV 비접촉 프로토콜의 두번째 단점으로 인해 공격자가 카드 발급자가 거래를 승인하는데 필요한 암호화 증명을 포함

비자카드가 아닌 카드에서 얻은 것들로부터 비자카드 프로토콜에 지정된 모든 필요한 응답을 구축할 수 있음

데모동영상1

데모동영상2

PoC 안드로이드 앱을 사용하여 두개의 마스터카드 직불카드와 두개의 마스터카드 신용카드를 포함

마스터카드 신용과 직불 카드로 거래할 때 PIN 확인을 우회하는 것을 확인

조사 결과에 따라 마스터카드는 금융 기관이 승인 데이터에 AID를 포함하도록 의무화하는 여러 대책을 추가

카드 발급자가 PAN 에 대해 AID 를 확인할 수 있도록 했음

또한 결제 네트워크는 이러한 종류의 공격을 식별하는데 사용할 수 있는 승인 요청에 있는 다른 데이터 포인트에 대한 수표를 배포

처음부터 사기 거래 권리를 거부하도록 함

openLab