금보원 “NFC 결제 정보 탈취 공격 ‘주의’” - 데이터넷
- 공격 개요
- 공격자는 세금 환급 안내를 사칭한 SMS를 통해 피해자를 피싱 사이트로 유도하고, 계좌정보를 입력하게 유도함
- 이어 보이스피싱을 통해 은행 사칭 후 악성앱 설치를 요구하고, 피해자가 NFC 기능을 활성화해 카드 인증을 수행하도록 유도
- 설치된 악성앱은 카드의 NFC 결제 정보와 PIN 번호를 탈취하여 공격자에게 전송하고, 이를 이용해 부정결제 수행
- 기술적 공격 방식
- NFC 기능을 활용하여 스마트폰에 실물 카드를 접촉하면 결제 토큰 등 민감한 정보가 생성됨
- 악성앱은 Android 시스템에서 오버레이 권한을 통해 UI를 가장하고, 실시간 정보 탈취 및 PIN 입력 가로채기 기능 수행
- 탈취된 정보를 기반으로 공격자가 원격지에서 자체 스마트폰에 결제정보를 주입해 NFC 결제를 직접 수행하는 방식
- 피해 확산 우려 요소
- NFC 기반 결제가 생체 인증 또는 PIN 번호 등 이중 인증을 사용하는 한국에서도, 인증 정보까지 탈취된 경우 방어 불가
- 애플페이 등 NFC 기반 결제 확산에 따라 향후 유사 공격 빈도 증가 예상
- 사회공학 기반의 피싱 및 보이스피싱과 결합되어 공격 성공률이 매우 높음
- 보안 권고
- 금융사 대상
- NFC 결제 관련 이상거래 탐지(FDS) 룰을 정교화하고 실시간 탐지 체계 강화
- NFC 활성화 시의 거래 패턴 분석 및 PIN 번호 변경 시나리오에 대한 위협 탐지 확대 필요
- 금융소비자 대상
- 출처 불명의 링크 클릭 및 앱 설치 금지
- 스마트폰과 실물 카드 간의 물리적 접촉을 요구하는 요청은 비정상으로 간주하고 즉시 차단
- 금융회사를 사칭한 보이스피싱에 대응하기 위한 보안 인식 제고 교육 필요
- 금융사 대상
- 결론
- 모바일 악성앱은 설치 후 사용자 행동을 유도해 인증 데이터를 탈취하는 방식으로 점차 진화 중
- NFC 결제 시 생성되는 일회성 토큰 및 PIN, 생체정보 등도 공격자가 사전에 탈취 가능하므로 결제 시스템 내 보안 경계 다층화 필요
- 악성앱 설치 경로 차단을 위한 통신사 차원의 URL 차단, 앱스토어 검증 강화, 보안 앱 상시 탐지 기능 활성화가 필요
- 금융사 및 보안기관은 NFC 및 결제 환경에 대한 레드팀 기반 시뮬레이션 훈련을 통해 위협 탐지 정확도와 대응 체계 확보해야 함
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| AI 코딩 어시스턴트의 보안 리스크와 민감정보 유출 우려 (0) | 2025.05.24 |
|---|---|
| 구글 ‘섹 제미나이(Sec-Gemini v1)’ 공개: 사이버 보안 AI의 새로운 전환점 (0) | 2025.05.24 |
| KISIA 뉴스레터 이메일 주소 유출 재발 사건 정리 (0) | 2025.05.24 |
| Frida 도구 업데이트로 동적 분석 및 침투 테스트 기능 대폭 강화 (0) | 2025.05.16 |
| 2025년 주목해야 할 오픈소스 기반 보안운영센터(SOC) 도구 20선 (0) | 2025.05.16 |