2012. 3. 9. 20:28
신용카드보안표준 PCI인증, ARP변조공격에 취약점 노출 우려 보안 관련/보안관련 이야기2012. 3. 9. 20:28
반응형
현행 대다수의 주요 카드사들 (Visa, MasterCard,
American Express)이 안전결제를 지원하기 위해 사용하고 있는 PCI DSS(Payment Card Industry Data Security Standard)보안인증 표준이 해커들의 카드신용정보 유출 및
삭제를 온전히 방어하는데 역부족인 것으로 나타나 관련 내용을 조사해보고자 한다.
이번 보고서는 디지털보안연구소인 Kaspersky Lab社의 최신 뉴스서비스를 통해 발표된 보고서의 내용을 인용한 것이며, 아래 링크에서 해당 내용을 보다 상세히 확인해볼 수 있다;
[출처: http://threatpost.com/en_us/blogs/pci-compliance-no-real-obstacle-compromises-030112]
기존의 정보보안 기준으로는 카드사들의 사용자 계정 및 거래정보를 저장, 처리, 그리고 전달하는 모든 기업 및 조직들은 PCI DSS에서 규정된 내용 모두를 준수하고 유효 인증서를 매년 갱신해야 하는 것을 원칙으로 하고 있다고 한다.
결국 현재 고객들의 카드결제와 관련된 데이터를 다루는 유통 도.소매 기업들은 PCI DSS 표준을 차용할 것을 신용카드 회사들로부터 요구받고 있는 것이 당연시 되고 있는데, 이번 보고서에 따르면 현재의 표준안과 요구사항으로는 결제와 관련된 데이터를 보호하는 것을 100퍼센트 보장할 수 없는 것으로 나타났다고 한다.
PCI 인증 솔루션 제공업체인 Trustwave社의 보안연구소 책임자인 Rob Havelt씨는 PCI 인증네트워크가 각 개별 조직들의 네트워크에서 운영되기에 여러가지 보안취약성에 노출되어 해킹되기 쉽다는 견해를 내놓기도 하였다.
취약성을 발견해내서 이를 이용해 보안사고를 유발할 수 있는 헛점들이 지속적으로 발생하고 있으며, 이러한 헛점들이 사용자들의 사소한 실수를 통해 해커들에게 보안사고를 일으킬 수 있는 빌미를 제공하고 있기 때문인 것으로 나타났다.
만일 해커들이 특정 기관 및 조직으로부터 신용카드와 결제정보와 관련된 세부내용에 대한 정보를 빼내기를 원한다면, 흔히 알려져있는 일반적인 방식을 통해 네트워크에 접근해 말웨어를 유포시키고, 취약한 단순 암호사용자들을 집중적으로 공략해 정보를 유출시킬 수 있다는 얘기이다.
일단 네트워크를 사용하고 있는 특정 사용자의 정보가 유출되어 계정이 해킹되는 순간, 이를 통해 중요한 정보가 저장되고 있는 네트워크로 접속을 시도하게 되며, 이때 사용하는 해킹방식은 주소 결정 프로토콜(ARP) 캐쉬 메모리를 변조하여 정보를 빼내는 ARP스누핑공격이라 할 수 있겠다.
[참고: ARP 스누핑공격은 해킹 대상자의 고유 컴퓨터 주소인 MAC을 해커의 MAC주소로 변경하여 모든 데이터가 해커의 컴퓨터로 모니터링이 가능하게 만드는 방식이다. 특정 시스템에 ARP 위장기능을 가진 말웨어 또는 바이러스가 설치되면 동일 컴퓨터와 맞물린 네트워크 내 타 시스템에도 악성코드가 심어질 수 있게 된다]
이처럼 해커들이 네트워크 트래픽 일부에 접속할 수 있는 권한을 갖게 된 이후, 특정 기업 및 조직의 네트워크의 운영방식 및 보안체제를 이해하게 되면 그때부터 문제는 점점 커지게 된다고 볼 수 있다.
앞서 언급된 해킹유형들은 비단 새로운 것이라 할 수 없는 것이지만, 현재까지도 완벽한 보안을 이룰 수 없게 만드는 해킹유형이라 할 수 있다. 결국 사용자들의 각별한 주의와 관심이 요구되는 시점이라 보인다.
이번 보고서는 디지털보안연구소인 Kaspersky Lab社의 최신 뉴스서비스를 통해 발표된 보고서의 내용을 인용한 것이며, 아래 링크에서 해당 내용을 보다 상세히 확인해볼 수 있다;
[출처: http://threatpost.com/en_us/blogs/pci-compliance-no-real-obstacle-compromises-030112]
기존의 정보보안 기준으로는 카드사들의 사용자 계정 및 거래정보를 저장, 처리, 그리고 전달하는 모든 기업 및 조직들은 PCI DSS에서 규정된 내용 모두를 준수하고 유효 인증서를 매년 갱신해야 하는 것을 원칙으로 하고 있다고 한다.
결국 현재 고객들의 카드결제와 관련된 데이터를 다루는 유통 도.소매 기업들은 PCI DSS 표준을 차용할 것을 신용카드 회사들로부터 요구받고 있는 것이 당연시 되고 있는데, 이번 보고서에 따르면 현재의 표준안과 요구사항으로는 결제와 관련된 데이터를 보호하는 것을 100퍼센트 보장할 수 없는 것으로 나타났다고 한다.
PCI 인증 솔루션 제공업체인 Trustwave社의 보안연구소 책임자인 Rob Havelt씨는 PCI 인증네트워크가 각 개별 조직들의 네트워크에서 운영되기에 여러가지 보안취약성에 노출되어 해킹되기 쉽다는 견해를 내놓기도 하였다.
취약성을 발견해내서 이를 이용해 보안사고를 유발할 수 있는 헛점들이 지속적으로 발생하고 있으며, 이러한 헛점들이 사용자들의 사소한 실수를 통해 해커들에게 보안사고를 일으킬 수 있는 빌미를 제공하고 있기 때문인 것으로 나타났다.
만일 해커들이 특정 기관 및 조직으로부터 신용카드와 결제정보와 관련된 세부내용에 대한 정보를 빼내기를 원한다면, 흔히 알려져있는 일반적인 방식을 통해 네트워크에 접근해 말웨어를 유포시키고, 취약한 단순 암호사용자들을 집중적으로 공략해 정보를 유출시킬 수 있다는 얘기이다.
일단 네트워크를 사용하고 있는 특정 사용자의 정보가 유출되어 계정이 해킹되는 순간, 이를 통해 중요한 정보가 저장되고 있는 네트워크로 접속을 시도하게 되며, 이때 사용하는 해킹방식은 주소 결정 프로토콜(ARP) 캐쉬 메모리를 변조하여 정보를 빼내는 ARP스누핑공격이라 할 수 있겠다.
[참고: ARP 스누핑공격은 해킹 대상자의 고유 컴퓨터 주소인 MAC을 해커의 MAC주소로 변경하여 모든 데이터가 해커의 컴퓨터로 모니터링이 가능하게 만드는 방식이다. 특정 시스템에 ARP 위장기능을 가진 말웨어 또는 바이러스가 설치되면 동일 컴퓨터와 맞물린 네트워크 내 타 시스템에도 악성코드가 심어질 수 있게 된다]
이처럼 해커들이 네트워크 트래픽 일부에 접속할 수 있는 권한을 갖게 된 이후, 특정 기업 및 조직의 네트워크의 운영방식 및 보안체제를 이해하게 되면 그때부터 문제는 점점 커지게 된다고 볼 수 있다.
앞서 언급된 해킹유형들은 비단 새로운 것이라 할 수 없는 것이지만, 현재까지도 완벽한 보안을 이룰 수 없게 만드는 해킹유형이라 할 수 있다. 결국 사용자들의 각별한 주의와 관심이 요구되는 시점이라 보인다.
반응형
