주머니에 아이폰을 넣고 완전히 잠근 상태인데, 누군가가 화면을 터치하거나 얼굴 인식을 하지 않고도 디지털 지갑에서 수천 달러를 인출해 간다고 상상해 보세요! 마치 공상 과학 영화 속 이야기처럼 들리겠지만, 실제로 일어난 논란의 여지가 있는 실험입니다. 서리 대학교와 버밍엄 대학교의 보안 연구원들은 인기 유튜버 마커스 브라운리(MKBHD)의 아이폰을 대상으로 정교한 공격을 감행하여, 잠겨 있는 그의 기기에서 무려 10,000만 달러를 인출하는 데 성공했습니다.
빠른 속도의 운송 트릭
인기 있는 베리타시움 채널에서 보도된 이 공격은 애플 페이의 익스프레스 트랜짓 모드에 있는 취약점을 악용한 것입니다. 이 기능은 아이폰 잠금 해제나 페이스 ID 사용 없이 지하철역이나 버스 정류장에서 빠르게 결제할 수 있도록 설계되었습니다. 그러나 연구원들은 아이폰이 실제로는 가짜 카드 리더기에 있으면서도 마치 역 개찰구에 있는 것처럼 속이는 방법을 발견했습니다.
이 방법은 기기에 물리적으로 접근하고 특수 장비를 사용해야 합니다. 노트북에 연결된 NFC 리더기를 사용하여 연결을 가로챕니다. 그런 다음 NFC 리더기의 ID를 인증된 단말기의 ID와 일치하도록 변경하고, 수집된 결제 데이터를 다른 휴대폰(해킹된 휴대폰)으로 전송합니다. 이 휴대폰을 정품 카드 리더기 근처에 두면 절도가 완료됩니다.
왜 굳이 비자 카드를 사용해야 하나요?
이 취약점이 흥미로운 점은 아이폰과 비자 카드라는 매우 특정한 조합에서만 작동한다는 것입니다. 알고 보니 문제는 애플의 운영체제 자체가 아니라 비자가 송금 거래를 처리하는 데 사용하는 보안 프로토콜에 있었습니다. 마스터카드나 아메리칸 익스프레스 카드에서는 이 공격이 통하지 않는데, 이는 이들 회사가 사용하는 보안 방식이 다르기 때문에 같은 방식으로 속일 수 없기 때문입니다.
삼성 기기 및 삼성 페이 서비스 사용자는 이러한 유형의 공격으로부터 안전합니다. 따라서 비자와 애플은 기존 거래 한도를 우회하고 한 번의 거래로 수천 달러에 달하는 거액을 인출할 수 있도록 하는 이러한 보안 허점에 대한 책임을 명확히 밝혀야 합니다.
당신은 돈 문제에 대해 걱정해야 할까요?
이번 사건에 대해 애플은 문제가 비자 시스템과 관련된 것이며, 기술적 복잡성과 물리적 접근이 필요하기 때문에 실제로는 이러한 유형의 사기가 발생할 가능성이 낮다고 밝혔습니다. 비자 측은 자사 카드 소지자는 "무책임" 정책으로 보호받고 있으며, 이러한 유형의 사기 거래는 쉽게 복구할 수 있다고 강조했습니다.
간단히 말해서, 걱정할 필요 없습니다.
전문가들은 이처럼 대규모의 공격을 거리에서 실행하는 것은 극히 어려울 것이라고 보지만, 이는 아무리 보안이 철저한 기술이라도 예상치 못한 취약점이 존재할 수 있다는 중요한 경각심을 일깨워줍니다. 만약 걱정된다면, 가장 간단한 방법은 아이폰의 "대중교통 고속 이용" 기능을 비자 카드로 결제하지 않거나, 해당 기능을 이용하지 않는 대중교통 수단에 대해서는 비활성화하는 것입니다.
한국어 :
5 리뷰