AI 요약
신용카드 보안의 핵심 요소인 카드 번호, CVV, 유효기간이 '무차별 대입(Brute Force)' 공격에 매우 취약하다는 분석이 제기되었습니다. 뉴캐슬 대학교(Newcastle University)의 연구팀은 공격자가 봇넷을 활용해 수천 개의 서로 다른 웹사이트에 결제 정보를 입력해보는 '분산 추측 공격' 방식을 사용하면, 단 6초 만에 유효한 카드 정보를 생성할 수 있음을 입증했습니다. 이는 개별 쇼핑몰이 자신의 사이트에서 발생하는 실패 횟수만 제한할 뿐, 다른 사이트와의 시도 횟수를 공유하지 않는 보안 허점을 악용하는 방식입니다. 카드 번호의 앞자리(BIN)가 공개 정보라는 점과 유효기간이 보통 5년(60개월) 이내라는 점, 그리고 CVV가 단 3자리(1,000가지 조합)라는 낮은 엔트로피가 이 공격을 더욱 용이하게 만듭니다.
핵심 인사이트
- 6초의 공격 시간: 뉴캐슬 대학교 연구진은 분산 추측 공격을 통해 단 6초 만에 유효한 신용카드 세부 정보를 알아낼 수 있음을 보여주었습니다.
- 낮은 엔트로피: CVV는 000에서 999까지 1,000가지 조합에 불과하며, 유효기간은 일반적으로 60개월(5년) 이내로 제한되어 있어 무차별 대입에 취약합니다.
- 룬 알고리즘(Luhn Algorithm): 카드 번호의 마지막 자리가 체크섬인 점을 이용해 공격자는 유효한 카드 번호 체계를 쉽게 필터링할 수 있습니다.
- BIN(은행 식별 번호): 카드 번호의 앞 6~8자리는 발급 기관에 따라 고정되어 있어 공격자가 추측해야 할 범위가 대폭 줄어듭니다.
주요 디테일
- 분산 추측 메커니즘: 단일 사이트에서 수천 번 시도하는 대신, 수천 개의 사이트에서 각각 몇 번씩 시도함으로써 이상 징후 탐지 시스템을 우회합니다.
- 검증의 불일치: 전자상거래 사이트마다 요구하는 정보(주소, 우편번호, CVV 등)가 다르기 때문에, 공격자는 단계별로 정보를 조립하여 완성된 카드 정보를 얻을 수 있습니다.
- 네트워크 차이: 특정 연구에서는 마스터카드보다 비자의 결제 네트워크가 사이트 간 시도 횟수를 추적하는 기능이 부족하여 이 공격에 더 노출될 가능성이 높다고 지적했습니다.
- 봇넷 활용: 자동화된 소프트웨어(봇)를 통해 대량의 결제 시도를 동시에 수행하며, 이는 암시장에서 '카딩(Carding)' 행위로 이어집니다.
- 체크섬의 한계: 16자리 번호 중 BIN과 체크섬을 제외하면 공격자가 맞춰야 하는 엔트로피는 실질적으로 7~9자리에 불과합니다.
향후 전망
- 3D Secure 도입 가속화: OTP나 생체 인증을 요구하는 3D Secure 2.0 이상의 보안 표준 채택이 전 세계적으로 의무화될 전망입니다.
- 가변 CVV 기술: 고정된 3자리 숫자 대신 몇 분마다 바뀌는 동적 CVV(Dynamic CVV) 기술이 보안 대안으로 주목받고 있습니다.
- 범국가적 네트워크 모니터링: 개별 가맹점이 아닌, 카드 네트워크 차원에서 실시간으로 전체 결제 시도 패턴을 분석하는 통합 보안 솔루션의 중요성이 커질 것입니다.