모바일 결제 보호를 위한 토큰화(Tokenization) 기술

 

I. 모바일 결제 보호를 위한, 토큰화((Tokenization)의 개요

1)  토큰화 (Tokenization) 의 정의

– 보호할 데이터를 토큰(Token)으로 치환하여 원본데이터 대신 토큰을 사용하는 기술
– 신용카드 번호를 난수로 이루어진 암호(토큰)로 변환해 저장함으로써 해당 카드 정보가 유출되어도 부정사용을 막는 기술
※ 개인정보의 유출 위험이 있는 전송 과정과 저장 단계에서 개인정보 데이터를 치환한 토큰 데이터만을 전송하고 저장함으로서 개인정보를 보호하는 접근법

2) 기존 결재의 취약점 및 사고 사례

구분 사고 유형 사고 사례
온라인 결제서버 등 카드정보가 집약된 서버 해킹을 통해 신용카드번호를 외부로 유출 – (업체) 하트랜드 Payment 시스템(온라인 지불결제 솔루션 사업자)
– (결과)‘07년부터 약 2년간 1억3천만건의 신용카드 정보를 도난당함
– (기법) SQL-인젝션해킹을 통해 거래정보를 외부로 지속적 유출
– (피해) 약 1482억원
오프라인 매장에 설치된 POS를 해킹하여 카드정보 등 유출 – (업체) Target사(대형 오프라인 쇼핑몰)
– (결과) ’12년 11월경 개인정보 7천만건, 카드정보 4천만건 유출
– (기법) Target사 서버를 해킹하여 자사 POS에 악성코드를 일괄삽입
– (피해) 배상금액 기준 3조 8천억원 추산

– 기존의 카드복제방지에서 벗어나 카드정보 전처리 구간에서 유출을 방지하는 근본적 대책이 필요
– 토큰화가 그 해법으로 제시

3) 토큰화의 장점

모바일 결제 스마트기기에서 디지털 결제 가능
편의성 향상 소비자가 카드정보를 입력하는 번거로움 사라짐
보안성 향상 불법카드 복제, 위변조 차단 가능, 보안이 취약한 상점 단말기 내부에 신용카드 저장 불필요
보안관리의 단순화 분산 저장되는 개인정보들이 토큰 서버에 통합 관리됨에 따라 보안 노력을 토큰 서버에만 집중하면 됨
보안요구사항 충족 PCS-DSS의 카드정보 저장,연산,정송 시 보호조치 강구에 요구사항 만족

II. 토큰화 기술의 구성도 및 유형

1)  토큰화 기술의 구성도

image

① 신용카드를 소유하고 있는 소비자가 상점에서 신용카드를 제시
② 상점의 단말기(POS; Point Of Sale)는 토큰 서버에게 암호화된 통신 채널을 통해 신용카드 번호를 전송
– 신용카드번호를 수신한 토큰 서버는 신용카드번호를 대체할 수 있는 토큰 데이터를 생성하여 토큰 데이터와 신용카드번호의 쌍을 내부의 저장소에 저장
③ 토큰 데이터를 상점 단말기에게 알려준다
④ 상점의 단말기는 카드번호를 이용하는 응용 서버에게 토큰 번호를 전달
⑤ 응용 서버는 데이터 처리 시 신용카드번호를 대체한 토큰 번호를 이용
⑥~⑨ 토큰 번호와 연결된 실재 신용카드번호가 필요할 때에는 토큰 서버에게 요청하여 신용카드 번호를 확인
– 결제토큰 기술은 부정거래 방지를 목적으로 개발되어, 토큰의 유효성 검증을 위한 절차, 구성 등이 매우 중요

2) 토큰화  유형

토큰방식 내용 토큰검증값
일회형 발생 시점부터 정해진 시간내 카드사에 승인요청으로 전달되어야 정상토큰으로 활용 가능 생성시간, 토큰카드번호에 대한 무결성 보장을 위해 해쉬알고리즘을 적용
고정형 구성된 토큰은 카드사에 전달되어 토큰 카드번호, 카드유효기간 등이 변경되지 않음 확인 고정형 토큰카드번호, 유효기간 등 카드관련 정보에 암호학적 방식이 적용되어 토큰검증값이 생성되며 이때 토큰검증값은 매 거래 시 마다 변경

– 토큰카드번호는 신용카드번호를 변환한 값이며, 토큰검증값은 토큰의 유효성을 확인하기 위한 값

Image

III.  토큰화 기술의 보안요구 사항

1)  토큰기술의 보안요구사항

Image

 

IV.  토큰화 기술의  적용 사례 및 고려사항

1) 토큰화 기술의 적용 사례

서비스 규격 구현방식
애플페이 단일(EMV) 비밀번호, 지문정보, 단말기 계정정보가 시큐어엘리먼트(SE)라는별도 하드웨어 보안구역에서 처리된다. 애플페이는 카드 등록 시 본인확인 과정이 없어 도난 카드가 활용되는 수단으로 악용 가능
삼성페이 복합(국내독자규격+EMV) 삼성페이 구동앱은 녹스(Knox) 플랫폼에 저장돼 일반앱과 구분하며, 토큰과 인증시드값은 스마트폰칩 제조사인 ARM이 고안한 트러스트존 내에 저장
안드로이드페이 단일(EMV) 토큰화한 결제 정보를 보호하도록 SW로 구현한 호스트카드에뮬레이터(HCE) 기술을 이용한다. 토큰화한 결제 정보는 구글 클라우드에 저장된다. 결제 시 정보를 내려 받아 활용

Image
-애플페이 절차도

Image
-삼성페이 절차도

Image
-안드로이드 페이 절차도

2) 토큰화의 고려 사항
– 지문인식, 하드웨어 기반 보안저장소를 활용
– 카드등록시 보다 철저한 신원확인
– POS단말기 등에 대한 보안위협수준을 낮추는 방안
– 정보집중으로 인한 토큰제공사의 토큰저장소에 대한 보안관리

참고자료:  결제토큰 기술현황 및 적용사례 분석 (금융보안원)

주요 간편결제 서비스 보안성 비교해보니 (전자신문)

토큰화 기술이란 – 펜타시큐리티

StageFright 취약점이란

StageFriht취약점은  안드로이드 폰  사용자가 아무런 조작을 하지 않았는데도 악성코드가 원격으로 실행될 수 있는  취약점으로서 작년도 9월에 크게 기사회된 바 있습니다. 

당시에 저도 스마트폰의 MMS설정을 수동으로 받도록 설정했던 기억이 납니다.   StageFrigt(무대공포증) 취약점에 대해 정리해보았습니다. 

참고한 URL:
알약 블로그: StageFrigt  http://blog.alyac.co.kr/388
StageFrigt 2.0: http://blog.alyac.co.kr/436, http://blog.alyac.co.kr/392
모바일 스마트폰 보안위협동향: <<아이넷캅 유동훈님>>

 

I. 사용자 조작 없이도 원격공격이 가능한, 안드로이드 Stagefright 취약점의 개요

1) StageFright 취약점의 정의:

"StageFright"라는 안드로이드 필수 멀티미디어 라이브러리를 공격하여  사용자의 조작 없이도 사용자 단말기를 해킹할 수 있는  소프트웨어 버그 (안드로이드 운영체제 2.2버전 이후 버전에서 발생)

안드로이드가 PDF등의 멀티미디어 파일을 녹화하고 재생하는데 사용하는 멀티미디어 플레이백 라이브러리인 안드로이드 코어 컴포넌트 “Stagefright” 에 존재하는 취약점

– StageFright 취약점  v1.0: 악성코드가 심어진 MMS 메시지를 기기에 보내기만 해도 자동으로 악성코드가 단말기에서 실행되도록 하는 취약점 (2015.7.28 발견)

  StageFright 취약점 v2.0: 악성 멀티미디어 파일인 MP3나 MP4를 포함하고 있는 웹사이트를 방문하도록 유도하여 스마트폰을 해킹할 수 있는 취약점  (2015.10.1 발견)

* 영향받는 안드로이드 OS 버전

안드로이드 2.2 ~ 5.1(최신버전)

2) StageFright 취약점의 특징

  (1) 사용자 조작 불필요: 사용자가 아무런 조작을 하지않고 잠금화면상태에서도 공격 성공
  (2) MMS 메시지 이용: 악성코드 심어진 MMS메시지를 보내는 방식의 공격
  (3) 최소 정보 이용: 공격자는 사용자의 전화번호만 알면 공격 가능
  (4) 대다수 안드로이드 취약: 안드로이드 OS의 95%에 존재하는 미디어 재생기능 취약점 이용
  (5) 앱, 웹을 통한 전파 가능:  악성 멀티미디어 파일인 MP3나 MP4를 포함하고 있는 앱, 웹을 통한 전파 가능

 

II. 구성도 및 구성요소

1)  StageFright 취약점 공격 경로 

Image(25)

– 미디어 파일 헤더 조작으로 인해 발생하므로 파일정보를 얻는 동작만으로 악성코드 감염 가능

– MMS외의 다른 파일 전송수단을 통해서도 동일한 공격이 가능함

2) 공격 시나리오

(1)  MMS메세지 공격:   안드로이드 운영체제에는 문자메세지에 첨부된 MMS를 사용자가 보기 전에 미리 로드하는 기능이 있는데, 공격자가 이 기능을 이용하여 조작된 MMS 메시지를 전송하면, 사용자가 메시지를 열어보지 않아도 공격대상인 안드로이드 기기를 감염 시킬수 있음  (StageFright V1.0)

(2) 변조된 앱을 통한 공격: 변조된 앱을 통해 특별히 조작된 MP4 파일이 사용되도록 하면  공격자가 사용자 단말기의 root권한을 얻을 수 있음   (StageFright V2.0)

  (3) 변조된 파일이 포함된 URL을 통한 공격 : 변조된 mp4 파일을 HTML 파일에 삽입해 넣은 악성 웹사이트를 통해 동일한 공격이 성공 가능함. (StageFright V2.0)

III.  해결방법

1)   Stagefright 라이브러리의 취약점 해결 :   – 구글에서 취약점에 대한 패치 배포

2)  주기적인 보안패치 배포:   – 구글과 주요 제조사에서 보안패치를 주기적으로 배포하는 체계 마련
    (구글/삼성에서는 매월 패치 배포)

3)   MMS 자동 수신 기능을 비활성화 시키는 방법
-  MMS 자동수신을 해제하는 방법을 이용하여 첨부파일이 포함된 문자를 수동으로 받도록 변경해야 함
– 문자메시지 관련 앱의 환경설정에서 MMS 자동수신 기능을 해제해야 함 (제조사별 차이 있음)


안드로이드 보안위협 관련 참고 사항

1) 2009~2015년 스마트폰 보안위협 발생 이력

Image(24)

2) 애플과 비교한 안드로이드 보안취약점 관리가 어려운 이유

Image(26)


3) 안드로이드의 악성코드 유포 유형

  (1) 사설 블랙마켓을 통한 악성코드 유포
  
– 유료 앱을 무료로 사용하고자 하는 사용자에게 변형된 앱 유포
   – 앱설정을 변경한 이용자들의 부주의에 의해 모바일 악성코드 감염


Image(27)

 (2) 앱 리패키징을 통한 악성코드 유포
  
– 앱 검증절차 부재로 인해 앱 기능 수정 및 추가 후 재배포된 앱 설치 가능
   – 공개도구를 통해 제 3자가 정상 앱에 쉽게 악성기능 추가 기능

Image(28)

  (3) SMS를 통한 악성코드 URL 유포
  
– 악성앱 경로를 짧은 URL로 만든 후 감염시키고자하는 폰에 문자 전송
  – 청첩장, 돌잔치, 쿠폰앱을 가장한 스미싱 앱이 사례

Image(29)