(기사링크) KB국민카드와 BC카드의 '안전결제(ISP)' 시스템도 해킹에 뚫렸다

2012.12.04 11:05

chobo 조회 수:3782

http://www.newsis.com/ar_detail/view.html?pID=10200&cID=10202&ar_id=NISX20121204_0011658336

경찰청 사이버테러대응센터는 지난달 초 KB국민카드와 BC카드의 ISP시스템을 사용하는 고객들의 PC가 해킹돼 PC안에 저장된 인증서가 유출돼 도용된 사고가 발생해 수사 중이라고 4일 밝혔다.

현재까지 190명이 피해를 당했으며 830차례에 걸쳐 1억8000만원의 피해가 발생한 것으로 경찰은 추산하고 있다. 범인들은 ISP를 해킹해 온라인 게임사이트 등에서 결제한 것으로 알려졌다.

경찰은 ISP시스템 자체가 해킹됐을 가능성보다 소비자 개인의 이메일에 저장된 인증서가 해킹당했거나 PC가 해킹돼 PC안에 저장된 인증서가 유출됐을 가능성이 높은 것으로 보고 수사를 진행 중이다.

또 두 카드사의 회원이 6000만명에 달하는 것으로 미뤄 유사한 해킹 사례가 추가로 발생했을 가능성을 배제하지 않고 피해 사례를 수집하고 있다.

저야 뭐 결제시 핸드폰으로 문자가 오기때문에 확인이 가능해서.

그건 그렇고 ISP, 이거 구동할때 Softcamp의 키보드 보안이 같이 작동되는데 정말 X랄 같은 X맛이라 혈압 급상승 시키는 놈이였음. 꾸역꾸역 설치되어서 쓰게끔 하더니만 어이쿠.

혹시나 모르니 결제내역 확인해보세요.

Softcamp 진짜 싫어!, 이 게시물을

apogee

2012.12.04 11:10

이래도 뚫리고 저래도 뚫릴건데 뭐하러 그렇게 activeX 설치는 많이 하라고 했는지 모르겠네요. 흥!

댓글
nobody

2012.12.04 11:13

태그에 공감 300번 정도 합니다.

댓글
듀란듀란박사

2012.12.04 11:16

국민카드는 엄꼬, 비씨는 있어도 안 쓰고-_-;;근데 이메일에 왜 비번을....;;;;

댓글
mad hatter

2012.12.04 11:20

PC를 해킹해서 인증서는 복사해 갔다고 치고, 비번은? 비번까지 알아내려면 사용자 화면을 모니터링 하고 있다가 ISP를 사용하는 순간 캡처해냈단 얘기인데 그런 방법이라면 왜 굳이 ISP만 대상으로 했을까요? 안전결제는 심지어 인증서도 필요 없는데..?

제가 보기엔 ISP 결제 프로세스 자체에 뭔가 결함이 있고 그걸 뚫은 것으로 보입니다.

댓글
로즈마리

2012.12.04 11:26

아.. 앙대!! 어제 딱 kb카드랑 bc카드 isp 새로 신청하고 외장하드에 복사해서 담았는데 제목 보고 놀래서 들어왔어요 ㅠㅠ
근데 전에 복사해뒀던 인증서가 이번에 들어가서 보니까 (false) 라고 돼있더라구요. 기사보니 더 걱정되네요, 얼른 거래내역 조회해봐야겠어요.

댓글
머핀탑

2012.12.04 11:40

인증서 복사야 쉬운거고, 그냥 키보드 로거가 있었곘죠. 뭐 ISP 결제시에 키보드 보안 프로그램이 실행된다지만, 그거 피해갈 방법도 많고, 무엇보다 ISP 비밀번호랑 다른 사이트 비밀번호를 똑같이 쓰는 사람들이 대부분이겠죠. 왜 이렇게 쓸데없이 복잡하게 하는지 모르겠네요.

댓글
mad hatter

2012.12.04 11:41

머핀탑/ 그 정도라면 굳이 ISP만 타겟이 될 리 없다는 거죠. 안전결제는 카드 번호와 비번만 알아내면 되니 더 쉽습니다. 그런데 ISP만 뚫렸다는 건 이상하죠.

댓글
fysas

2012.12.04 11:44

하필이면 신용&체크카드가 다 KB카드랑 BC카드라서 ISP 할 수 없이 쓰고 있긴 하지만 이게 정말 '안전결제'라고 생각하진 않아요.

댓글
머핀탑

2012.12.04 11:56

mad hatter님/ 키보드보안프로그램이 제대로 동작한다는 전제 하에, 안전결제시에 입력하는 카드번호는 빼내기가 힘들죠. ISP는 ISP 비밀번호와 동일한 비밀번호를 다른 사이트에서도 쓴다고 가정한다면, ISP만 타겟이 된 게 이해가 될 수 있죠. 그런데 그냥 우연히 ISP를 타겟으로 스크립트를 짜서 공격을 한 거일 수도 있고요. 시스템 자체를 해킹했다면 190명이라는 수가 적어 보이는 것 같기도 한데.. 뭐 더 두고 봐야겠죠.

댓글
mad hatter

2012.12.04 13:22

그건 말이 되는군요.

1. 일단 PC를 해킹하여 ISP 인증서를 획득
2. 키로거로 패스워드로 보이는 정보를 무작위 수집
3. 서로 다른 사이트에서 사용하는 동일한 패스워드를 선택 (기타 알고리즘으로 3개까지 선택)
4. ISP 결제 시도

ISP도 OTP를 도입해야 안전해지겠군요. 아니면 인증서는 무조건 하드에 저장 못하도록 하던지..

댓글
머핀탑

2012.12.04 13:48

사실 그냥 충분한 암호화 + 아이디/패스워드 + 휴대폰 인증 또는 OTP 인증까지만 해도 충분하죠. 인증서 자체가 어떤 의미를 가지는지는.. 부인방지 기능 이야기를 하는데 로컬에 파일 하나 더 가지고 있다는 게 얼마나 큰 의미가 있는진 모르겠습니다. 하다못해 최소한 OS에서 제공하는 인증서 스토어를 쓴다면, OS 차원의 보안이라도 제공되지만... 이 이야기를 시작하면 또 제가 속이 터질 테니 여기까지 ㅎㅎㅎ

댓글
mad hatter

2012.12.04 14:31

전자 서명은 멋진 시스템입니다. 부인방지도 그렇게 폄하할만한 개념은 아니구요. 단지, 그걸 implement 하는 과정에서 정교하지 못한 부분이 있어서 문제가 되는 것이지요.

댓글
머핀탑

2012.12.04 14:58

#mad hatter:
네, 뭐 현재 방식으로서는 별 의미가 없다는 거지, 제대로만 구현한다면 멋진 시스템이 될 수 있죠. 어느 정도 이상 중요한 거래(법인 거래나 큰 규모의 이체, 법률적 계약 등)에는 아예 하드웨어 토큰 등 물리적인 것이 관여하는 서명을 하도록 하고, 그 외의 경우는 굳이 전자 서명을 안 해도 되지 않을까 싶어요. 모든 거래에 인증서를 쓰게 하려고 하니, 인증서 사용이 어려워선 안 되고, 그러다 보니 또 허술해지고 그런 것 같네요.

댓글
dong

2012.12.04 14:43

이글보고 짜증이 확 돋네요. 지금 오로지 kb카드만 쓰고있는데!
그런데 대체적으로 회사들이 개인정보 보안엔 돈을 별로 들이지않는것같아요.
오로지 자기네들 금고에 돈들어오는것만 신경쓰지.

댓글
흐규흐규

2012.12.04 16:27

헐 불과 며칠 전에 ISP 새로 설치했었는데 걱정되는군요...

댓글

번호	제목	글쓴이	날짜	조회 수
공지	제 트위터 부계입니다. [3]	DJUNA	2023.04.01	24827
공지	[공지] 게시판 관리 원칙.	엔시블	2019.12.31	43382
공지	[공지] 게시판 규칙, FAQ, 기타등등	DJUNA	2013.01.31	351732
»	(기사링크) KB국민카드와 BC카드의 '안전결제(ISP)' 시스템도 해킹에 뚫렸다 [15]	chobo	2012.12.04	3782

첫 페이지 1 끝 페이지

쓰기

태그

댓글 15