‘스키머’의 진화…ATM기기 생체인증 정보 노린다

지문·홍채 등 생체인식 기술이 새로운 인증수단으로 각광을 받고 있는 가운데 ATM 금융자동화기기에서 사용되는 생체인증 정보를 훔치는 ‘스키머(Skimmer)’가 발견됐다.

ATM 기기에서 주로 신용카드 정보를 훔치는 도구로 활용된 ‘스키머’는 IC칩 내장 신용카드 정보뿐 아니라 최근에는 생체인증 정보를 빼낼 수 있도록 진화하고 있다.

카스퍼스키랩(www.kaspersky.co.kr)이 26일 공개한 지하 사이버범죄 조직 연구 결과에 따르면, 현재 사용자 지문을 훔칠 수 있는 기능을 갖춘 ‘스키머’ 판매자가 최소 12명이 활동하고 있다. 최소한 3명 이상의 판매자는 손바닥 정맥과 홍채인식 시스템에서 데이터를 훔칠 수 있는 장비를 찾고 있는 것으로 조사됐다.

생체정보를 훔칠 수 있는 도구가 처음 발견된 시점은 지난 2015년 9월이다. ‘스키머 장비 테스트’를 실시한 결과 해당 도구는 생체인식 데이터 전송방식(GSM 모듈)의 속도가 너무 느려 대량 생체정보를 탈취하기 어려운 수준이었다. 하지만 새로운 버전의 스키머는 더욱 빠른 데이터 전송 기술을 사용할 것으로 카스퍼스키랩은 전망하고 있다.

카스퍼스키랩 연구진들은 사이버 범죄 커뮤니티에서 사람의 얼굴에 마스크를 씌우는 방식을 활용한 모바일 애플리케이션(앱) 개발이 추진되고 있다는 징후도 포착했다. 이러한 앱은 공격자들이 소셜 미디어에 게시된 사진을 이용해 안면인식(얼굴인식) 시스템을 속이는데 사용할 것으로 예상했다.

사람마다 고유한 생체정보는 강력하면서 편리한 인증수단으로 활용될 수 있지만 ‘변하지 않는다’는 특성으로 인해 유출되면 더욱 위험하다. 예를 들어 인증에 사용하는 비밀번호가 유출되면 변경하면 되지만 생체정보는 바꿀 수 없다. 이 때문에 생체인증 시스템에 강력한 보안성을 강구해야 한다.

이창훈 카스퍼스키랩코리아 지사장은 “손쉽게 변경할 수 있는 암호나 핀 코드와는 달리, 지문이나 홍채는 바꿀 수 없다는 문제점이 있다. 생체인식 정보가 한 번 손상되면 해당 인증 방법은 더 이상 안전하지 않다”고 지적하며 “생체인식 데이터 보안을 철저히 하고 반드시 안전한 방법으로 전송해야 한다”고 강조했다.

이 지사장은 이어 “생체인식 데이터는 전자여권이나 비자 정보에도 기록된다”면서 “한 사람의 신원이 범죄자의 손에 넘어가게 되는 것이므로 주의해야 한다”고 덧붙였다.

ATM SK한편, 초창기 등장한 ‘스키머’는 집에서 허술하게 만든 도구를 ATM에 부착해 가짜 번호 패드나 웹캠을 이용해 카드의 자기테이프 정보와 비밀번호를 훔치는 형태였다. 최근에는 훨씬 정교해졌다. 눈에도 잘 띄지 않도록 설계돼 있다.

전자칩 내장 신용카드까지 복제할 수 있는 스키머는 ‘쉬머(Shimmer)’라고 불린다. ‘쉬머’는 카드에 내장된 칩에서 다량의 정보를 수집해 온라인을 통해 2차 공격을 시도할 수 있다. 이러한 위협에 금융기관에서는 생체인식 등을 활용한 새로운 인증 솔루션으로 대응했다. ‘창’과 ‘방패’의 싸움이 계속되고 있는 셈이다.

카스퍼스키랩은 “상당수의 금융기관이 현재의 인증수단을 대체할 새로운 방법으로 생체인식 기반 솔루션을 가장 유력하게 고려하고 있는데, 기존의 인증수단을 완벽하게 대체하지 못할 경우 사이버 범죄자에게는 민감한 정보를 훔치기 위한 새로운 기회가 될 수 있는 것으로 드러났다”고 밝혔다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다