새로운 연구, 인기 디지털 지갑의 보안 결함을 드러내다

매사추세츠 암허스트 대학이 오늘 발표한 연구 논문에서는 애플 페이, 구글 페이, 페이팔 등 인기 디지털 지갑에 중요한 보안 취약점이 있다는 것을 밝혔습니다. 이 연구는 2026년까지 53억 명 이상이 이러한 기술을 사용할 것으로 예상되며, 이는 편의성을 보안보다 우선시하는 낡은 인증 방식 때문에 위협을 받을 수 있다는 것을 강조하고 있습니다.

또한 대학의 공지사항에서는 연구자들이 은행이 도난 카드를 처리하는 방식에 결함을 발견했다고 설명하고 있습니다. 은행들은 일반적으로 물리적 카드를 차단하지만, 카드가 교체된 후에도 재인증을 요구하지 않는 토큰 시스템을 통한 디지털 지갑을 통한 거래를 해결하지 못하고 있습니다.

결과적으로, 공격자들은 피해자가 새 카드를 받은 이후에도 도난당한 카드 정보를 이용해 구매를 계속할 수 있습니다. 이는 사기 거래를 방지하기 위해 해결해야 할 중요한 보안 취약점을 노출시킵니다.

논문의 저자 중 한 명인 타키 라자는 발표에서 “물리적 카드 번호를 알고 있는 어떤 악의적인 행위자라도 카드 소유자처럼 가장할 수 있습니다. […] 디지털 지갑은 카드 사용자가 실제 카드 소유자인지 여부를 충분히 인증하는 메커니즘이 없습니다.”

라고 말했습니다.게다가, 이 연구는 공격자들이 이러한 디지털 지갑을 여러 가지 방식으로 악용할 수 있음을 보여줍니다. 첫째, 공격자들은 지갑과 은행 간의 인증 계약을 우회하여 피해자의 은행 카드를 자신들의 지갑에 추가할 수 있습니다.

둘째로, 그들은 지갑과 은행 간의 본질적인 신뢰를 악용하여 결제 승인을 우회합니다. 셋째, 공격자들은 접근 제어 정책을 우회하기 위해 결제 유형을 조작할 수 있어, 카드가 도난 신고되었음에도 불구하고 무단 구매를 할 수 있습니다.

해당 연구는 주요 미국 은행과 디지털 지갑 앱의 취약점들을 조사하였으며, 은행들이 알림을 받은 이후에도 문제가 계속되고 있음을 밝혔습니다. 연구자들은 새로운 카드 상세 정보가 재인증 없이 이전 가상 토큰에 연결되어 있어, 계속해서 사기 행위가 가능하다는 것을 발견했습니다.

이러한 문제를 해결하기 위해, 이 연구는 몇 가지 대응책을 제안합니다. 주요 추천사항 중 하나는, 더 안전한 멀티 팩터 인증(MFA) 방법으로 낡은 일회용 비밀번호(OTP) 시스템을 교체하는 것입니다.

게다가, 이 연구에서는 보안 강화를 위해 토큰 관리에 대해 지속적인 인증을 구현하는 것을 제안하고 있습니다. 현재, 결제 토큰은 초기 인증 후 무기한으로 유효합니다. 은행들이 주기적인 재인증과 토큰 갱신을 사용하도록 권장하며, 특히 카드 손실과 같은 중요한 사건이 발생한 후에는 더욱 그렇습니다.

마지막으로, 연구에서는 거래 승인을 개선하기 위해 거래 메타데이터, 예를 들어 시간과 빈도 등을 분석하여 일회성 거래와 반복 거래를 구분하는 것을 권장합니다. 이것은 거래 라벨의 오용을 방지하고 거래가 그들이 의도한 유형과 금액과 일치하도록 보장하는 데 도움이 될 것입니다.