본문 바로가기
IT/IT월드

삼성페이의 원조기술인 루프페이가 해킹 당하다. 삼성페이 보안은 괜찮은가?

by 썬도그 2015. 10. 10.
반응형

삼성전자의 최신 스마트폰 갤럭시노트5와 갤럭시S6는 외모는 이전보다 좋아지긴 했지만 일체형 배터리 때문에 여러모로 불편한 점도 많이 생겼습니다. 그럼에도 제가 가장 후한 점수를 주는 것은 삼성페이가 탑재 되었다는 것입니다. 


삼성페이는 모바일 결제 서비스로 미국 자회사인 루프페이(LoopPay) 기술을 이용한 모바일 결제 서비스입니다. 세상 수 많은 모바일 결제 서비스가 있지만 삼성페이만이 가지고 있는 특장점은 마그네틱 카드 리더기에서도 사용할 수 있다는 점입니다. 전국 많은 음식점과 매장이 구닥다리인 마그네틱 카드 리더기를 여전히 사용하고 있습니다. 보안 때문에 IC칩이 들어간 IC 카드로 강제로 바꾸고 있고 IC 카드리더기가 점점 보급되고 있지만 최소 3년 동안은 마그네틱 카드 리더기를 사용하는 매장이 많아서 삼성페이가 잠시나마 큰 강점을 보일 것으로 봤습니다.

경쟁 서비스인 애플 페이나 구글 안드로이드 페이는 NFC라는 근거리 무선 통신을 사용하는 반면, 삼성페이는 NFC가 탑재되지 않은 결제 단말기에서도 사용할 수 있다는 것이 강점입니다. 


실제로 체험을 해보니 이거 너무나도 간단하더군요. 마그네틱 카드 리더기에 삼성페이에서 가상 신용카드를 꺼내서 옆에 놓으면 자동으로 결제가 이루어집니다. 지문인식을 해야 하기 때문에 보안성도 꽤 높아 보입니다. 그러나 

이렇게 NFC가 없어도 결제가 이루어질 수 있는 것은 MST라는 기술 때문입니다. 
마그네틱 카드 리더기에 카드를 넣고 긁으면 마그네틱선과 마그네틱 카드 리더기가 자기력을 이용해서 신용카드에 있는 정보를 카드 리더기가 읽어들이는데 삼성페이는 MST기술을 이용해서 카드 리더기를 긁지 않아도 자기력을 이용한 정보를 스마트폰에서 생성해서 전송해 줍니다. 

때문에 모바일 결제를 하기 위해서 매장에서는 따로 NFC가 탑재 된 카드 리더기를 구매할 필요가 없습니다. 한국에서는 이미 8월 20일부터 사용할 수 있는데 지금까지 약 348억 원을 삼성페이를 통해서 결제를 했습니다. 그리고 9월 28일 미국에서 삼성페이 서비스를 시작했습니다. 그런데 이 삼성페이에 안 좋은 소식이 들리네요

 



뉴욕타임즈 기사에 따르면 삼성페이의 자회사이자 MST기술을 만든어낸 루프페이(LoopPay)가 중국인 해커 집단 Codoso Group과 Sunshock Group으로부터 해킹 공격을 받았습니다. 

루프페이에 따르면 해커 그룹의 목적은 MST기술이었습니다.  해킹 공격을 받고 그걸 발견한 것은 2015년 8월입니다. 이 8월에 공격을 발견 했는데 최초 공격이 2015년 3월에 있었습니다. 즉 해킹 공격 받은지 바로 알지 못하고 5개월이 지난 후에 알게 된 것이죠. 이런 불안감이 확산되자 삼성페이의 개인 정보 보호 책임자인 Darlene Cedres씨는 뉴욕타임즈와의 인터뷰에서  해킹 공격을 받은 곳은 삼성페이와 다른 네트워크를 가진 루프페이의 기업 시스템에 대한 공격이기 때문에 삼성페이와 무관할 뿐 아니라 영향도 없다고 말하고 있습니다. 

또한, 해킹을 당한 기기에 대한 조치를 했기 때문에 문제가 없다고 말하고 있습니다. 실제로 정보 유출은 없는 것으로 보입니다만 이 중국 해킹 단체를 추적 조사하고 있는 한 보안 연구원은 해킹의 영향이 없다고 판단하는 것은 시기상조라며 우려를 내보였습니다. 

Codoso Group의 해킹 수법은 해킹 대상 시스템에 백도어를 심은 후에 오랜 시간 동안 백도어를 통한 해킹 침입을 반복적으로 합니다. 따라서 이번 사건도 5개월 동안 백도어를 통해서 수시로 들락거렸을 것 같은데 해킹을 인지하고 1개월도 되지 않아서 아무런 피해가 없다고 말하는 것은 너무 성급한 판단이라고 말하고 있습니다. 또한, 해킹 피해를 완벽하게 조사하고 복구하는데는 보통 48일 정도가 소요되는데 너무 일찍 아무런 문제가 없다는 것은 미덥지가 못하다고 말하고 있네요. 

이런 사고가 나면 보통 완벽하게 조치를 취하고 서비스를 시작해야 하는데 해킹 사고를 조사한지 40일 만에 미국에서 삼성페이 서비스를 시작했습니다. 보안에 큰 신경을 안 쓴다고 볼 수 있네요. 물론, 정해진 시간에 삼성페이 미국 서비스를 시작해야 금전적 손해를 덜 입겠지만 그럼에도 이런 신용 서비스는 첫 째도 둘 째도  세 째도 신뢰인데 이렇게 막 진행하는 것은 불안스럽네요

한편 루프페이는 개인 정보나 신용 카드 정보가 도난 당한 것은 아니라서 미국 정부 기관에 맡기지 않았다고 하네요. 큰 사고는 아닌 것 같기는 하지만 보안 연구원의 말처럼 좀 불안하고 안이하게 처리하는 것 같은 느낌이 듭니다. 


세상이 편리해지는 만큼 도둑도 훔치기 편해지는 세상 같기는 하네요. 


반응형