삼성 앱카드, 문제는 아이폰이 아니다

삼성앱카드 도용 사건, 왜 아이폰을 탓하나?

삼성카드의 앱카드 명의도용 사건과 관련해 여러가지 뉴스들이 나오고 있다. 기사들이 하나의 주제를 가지고 조금씩 다른 얘기를 하고 있어서, 그나마 잘 정리된 것으로 보이는 한국일보 강지원 기자의 기사를 인용한다.

삼성카드는 자체조사를 벌여 해커들이 앱카드 이용자의 스마트폰으로 스미싱(문자 사기)을 보내 개인정보를 빼낸 후 이를 앱카드 결제에 사용한 것으로 추정했다. 문자메시지를 받은 고객이 메시지에 있는 인터넷 주소를 누르면 악성코드가 설치돼 스마트폰에 내장된 공인인증서가 해킹되는 것이다.

해커들은 빼낸 공인인증서를 다른 스마트폰에서 앱카드 이용 인증에 악용했다. 특히 이중 보안(유심칩+공인인증)이 되는 다른 스마트폰과 달리 공인인증서만으로 본인 인증이 되는 아이폰의 보안 허점을 노렸다. 해커들은 본인 인증을 통해 1회용 카드번호와 비밀번호를 제공받은 뒤 10만원 미만으로 300여차례에 걸쳐 11개 게임 사이트에서 6,000만원 가량을 결제했다.

오해의 소지를 확실히 없애자면 스미싱으로 개인정보를 빼낸 폰이 아이폰이 아니라, 다른 스마트폰(아마도 안드로이드)에서 빼낸 정보를 가지고 해커들이 아이폰에서 앱카드를 개설해 명의를 도용했다는 얘기다. 이 뉴스는 언론에서 아이폰의 보안 취약점 때문에 문자 메시지를 통해 아이폰 사용자의 개인정보가 털리고, 결제에 도용된 것으로 모호하게 쓰여졌다.

예를 들어 서울파이낸스의 기사에서는 “이번 앱카드 도용 사건의 원인은 아이폰의 제품적 특성 때문에 발생한 것으로 분석되고 있다.”라는 문장이 있다. 이건 아이폰의 문제가 아니다. – 해커들이 도용에 사용한 폰이 아이폰일지라도 아이폰의 보안 문제라고 볼 수 없다.

문제는 애플이 아닌 카드사의 보안

이 해킹 사건에 대한 고어쿤님의 설명이다. (7개의 트윗을 붙였다. 1 / 2 / 3 / 4 / 5 / 6 / 7)

적어도 보도된 내용만을 볼 때 본인 확인 과정이 잘못 만들어진 것 같습니다.

갑돌이에게 발급된 앱카드가 갑돌이 폰에 등록되었음을 확인하는 방식이라는게, 쉽게 말하면 갑돌이의 전화 번호로 확인 코드를 보내 주고 보내 준 코드를 입력해 보라고 하는 식입니다. 갑돌이 휴대폰에 등록을 하고 있다면, 그 코드를 못 받을 수는 없으니까요.

그런데, 기사를 읽어 보면 앱 카드 등록시 휴대폰이 은행사 서버에 ‘내 번호는 아무개 아무개니까 여기로 확인 코드를 보내 줘.’ 라고 메시지를 보내면 그 번호로 확인 코드를 보내는 방식인 것 같습니다. 아이폰에서는 앱 스스로가 자기가 인스톨된 폰의 번호를 알 수가 없거든요.

그걸 악용해서 을돌이가 갑돌이의 카드를 자기 폰에 등록한 다음, 은행사 서버로 가는 메시지를 가로채서 을돌이의 휴대폰 번호를 갑돌이의 휴대폰 번호라고 거짓말을 한 겁니다. 확인 코드가 문제 없이 오는 걸 본 은행사 서버는 폰에 갑돌이 카드를 설정한 게 갑돌이라고 생각하니까요 – 실제로는 을돌이인데!! 이제 을돌이가 갑돌이 카드를 신나게 긁고 돌아다니는 사고가 터지는 거죠.

이게 애플 책임이 아닐 가능성이 높은 이유는, 애시당초 확인 코드를 보낼 때 은행사가 가지고 있는 갑돌이 번호로 보내면 아무 문제가 없기 때문입니다. 사용자가 원격으로 보내는 메시지는 악의적인 사용자가 변조했을 가능성이 있기 때문에 처음부터 믿지 않는 게 보안의 기본입니다. 그러니까 적어도 보도된 내용을 기준으로 할 때, 이건 애플 탓이 아니고 오히려 앱카드 서버 쪽 작업이 잘못되었을 가능성이 높죠.

아이폰은 문자 메시지로 온 URL을 누른다고 해도 악성코드가 설치되지 않도록 OS가 디자인되어 있다. 그렇기에 문자메시지로 온 URL을 눌러서 개인정보가 털린건 아이폰이 아닐 가능성이 크다. 카드사측에서 안드로이드의 USIM 이중 보안에만 맞춰 보안을 디자인해 놓고, ’아이폰의 보안 헛점이다’라고 하는건 분석을 아주 잘못한 것이다. – “잘못은 내가 했지만, 일이 터진건 너 때문이다.”라는 셈이다.

명확한 용어를 사용하아 혼란 부추기는 한국 언론

또 금감원에서 앱카드와 아이폰, 공인인증서 결합시 해킹이 우려된다고 했다는 연합뉴스의 기사가 있었다.

금감원 한 관계자는 “시스템을 비교해 보니 아이폰과 공인인증서 방식을 결합했을 때 사고가 발생할 우려가 있는 것으로 분석됐다”고 말했다.

대충 말한 금감원 관계자를 대신해서 자세하게 설명을 하자면, “아이폰에서는 USIM과 함께 이중 인증을 할 수 없기 때문에 공인인증서만으로는 신뢰성 있는 인증이 될 수 없고, 그렇기 때문에 사고가 발생할 우려가 있다.”라는 것이다.

물론 여기서 공인인증서는 아이폰이 아니라 안드로이드폰이나 PC에서 털리는 것이다. 다시 한번 말하지만, “공인인증서가 단독인증으로 부족해서 USIM까지 인증에 동원을 해야 하는데, 아이폰은 그게 안된다. 그러니까 아이폰이 잘못이다.”라고 하는 셈이다.

이 문제와 관련해 아이폰 보안에 대한 오해가 발생하게 되는 이유 중 하나는 언론이 스마트폰, 안드로이드폰, 아이폰을 정확히 구분하지 않고 혼용해서 쓰기 때문이다. 스미싱으로 개인정보와 공인인증서가 탈취되는 일에서는 안드로이드폰이라고 지칭하지 않고, 스마트폰이라고 뭉뚱그려 표현한다.

해킹 사건에서 안드로이드폰이라고 지칭하지 않고, 스마트폰으로 뭉뚱그리는건 일견 이해가 된다. 이미 대다수의 스마트폰이 안드로이드폰인 한국 상황에서 윈도우 컴퓨터를 단순히 컴퓨터라고 하는것처럼 안드로이드폰을 스마트폰이라고 통칭할 수는 있다고 본다.

다만 이 문제와 같이 뚜렷히 구분이 필요한 기사에까지 용어를 섞어가며 쓰는 것은 독자들의 정확한 이해를 방해한다. 하지만 USIM과 관련한 이중 인증에 대해서 설명할 때는 아이폰이라고 분명히 구분을 짓는다. 관련 지식이 없는 사람들은 여기서 개념에 혼동을 겪을 수 밖에 없다.

아이폰은 오히려 안전한 쪽이었다

문자 메시지 때문에 아이폰이 해킹 당했다는 뉴스는 일단 의심을 해보는게 좋다. 문자 메시지를 통한 스미싱이 어렵기 때문에 아이폰이 안드로이드에 비해 안전하다는 얘길 듣는 것이다. 앞서 인용한 한국일보의 기사를 용어를 분명히 해서 다시 써보겠다.

삼성카드는 자체조사를 벌여 해커들이 앱카드 이용자의 안드로이드폰으로 스미싱(문자 사기)을 보내 개인정보를 빼낸 후 이를 앱카드 결제에 사용한 것으로 추정했다. 문자메시지를 받은 고객이 메시지에 있는 인터넷 주소를 누르면 악성코드가 설치돼 안드로이드폰에 내장된 공인인증서가 해킹되는 것이다.

해커들은 안드로이드폰에서 빼낸 공인인증서를 다른 스마트폰인 아이폰에서 앱카드 이용 인증에 악용했다. 특히 이중 보안(유심칩+공인인증)이 되는 안드로이드폰과 달리 아이폰에서는 유심침에서 앱에 번호를 제공하지 않아 공인인증서 사용시 악용될 수 있는 부분을 노렸다. 해커들은 본인 인증을 통해 1회용 카드번호와 비밀번호를 제공받은 뒤 10만원 미만으로 300여차례에 걸쳐 11개 게임 사이트에서 6,000만원 가량을 결제했다.

어떤가? 이제 문제가 명확해지지 않나?