금융보안원

제목 : 금융보안원, 스마트폰의 NFC 결제 정보를 가로채는 새로운 사이버 위협 경고

- 몰래 설치한 악성앱으로 NFC 결제 정보를 복제해 공격자가 부정 결제 및 무단 출금 가능

□ 금융보안원(원장 박상원)은 NFC 결제* 정보를 탈취해 부정결제와 무단 출금에 악용하는 새로운 사이버 위협이 확산되고 있다고 밝히며 금융회사와 금융소비자의 각별한 주의를 당부

     * NFC(Near Field Communication) 결제 : 스마트폰 등에서 무선 근거리 통신 기술을 활용해 결제 단말기에 카드 결제 정보를 전송하여 결제하는 방식

  ㅇ 기존 부정결제 사기는 카드번호, 인증코드 등 실물 카드 정보를 악용하였으나, 신종 결제 사기는 스마트폰의 NFC 결제 기능 활성화로 생성되는 결제 정보를 실시간으로 가로채어 부정결제에 악용

  ㅇ 신종 NFC 부정결제 사기는 피싱 공격과 결합될 경우 국내 금융소비자의 금전적 피해로 이어질 수 있으며, 애플페이 도입 등으로 NFC 결제가 점점 확대되고 있어 선제적인 대응이 필요

□ 금융보안원은 최근 해외에서 국내 금융회사 고객 정보를 이용한 NFC 부정결제 등 다수의 해외 피해 사례를 분석하고, 관련 위협정보(악성앱·유포지 정보 등)를 금융회사에 공유

□ 최근 해외에서 발생한 NFC 부정출금 피해 사례는 다음과 같음

➊ 직장인 A씨는 세금 환급 안내 SMS를 수신하였다. A씨는 SMS로 받은 인터넷 주소(URL)를 클릭한 뒤 환급금 신청 화면에서 은행 계좌번호와 계정정보 등을 입력하였다.

➋ 얼마 후 A씨는 은행 직원 사칭범으로부터 과거 환급금 수령 과정에서 입력했던 정보로 인해 은행 계좌가 해킹되었다는 전화를 받게 된다. 사칭범은 피해 방지를 위해 PIN 번호 변경과 카드 인증이 필요하다며 악성앱 설치 URL을 피해자에게 전송하였다. A씨는 전달받은 URL을 클릭하여 은행 사칭 악성앱을 설치하였다.

➌ A씨는 설치한 악성앱의 안내에 따라 PIN 번호를 변경하고 스마트폰 NFC 기능을 활성화한 후, 카드를 스마트폰 뒷면에 접촉하여 카드 인증을 하였다.

➍ 악성앱은 NFC 기능으로 생성한 결제 정보와 PIN 번호를 공격자에게 실시간으로 전송하고, 공격자는 이 정보를 악용하여 스마트폰에서 NFC 결제가 가능하도록 변환한 후 부정출금을 진행하였다.

□ 국내의 경우 NFC 결제 시 추가 인증(생체인증, PIN 번호 등)을 적용하고 있어 해외*에 비해 상대적으로 안전하나, 악성앱이 탈취한 비밀번호 등을 추가 인증에 사용하는 경우 피해 발생 가능

     * 토큰화된 일회용 카드번호, 카드가 생성한 거래인증용 암호(Cryptogram) 등 NFC 결제에 필요한 기본 인증을 적용

  ㅇ 금융회사는 NFC 결제 관련 이상거래를 신속하고 정밀하게 탐지할 수 있도록 이상거래탐지(FDS) 모니터링을 강화하고,

  ㅇ 금융소비자는 출처가 불분명한 링크가 포함된 SMS와 금융회사를 사칭한 보이스피싱에 유의하여야 하며, 특히 스마트폰과 신용카드의 물리적 접촉을 유도하는 등 비정상적인 인증 요청은 거부할 필요

□ 금융보안원 박상원 원장은 “최근 NFC 결제 이용이 확산되는 국내 금융 환경을 고려할 때, 지능적·정교화되고 있는 NFC 부정결제 위협에 금융회사와 금융소비자 모두 각별히 주의해야 한다”면서,

  ㅇ “금융보안원은 앞으로도 끊임없이 변화하는 사이버 위협을 면밀히 모니터링하고 분석함으로써 안전한 디지털 금융 환경을 조성하는 데에 힘쓰겠다”고 밝힘. 끝.