근거리 무선통신기술도 보안위협 지적 제기

지갑에 여러 장의 신용카드나 쿠폰을 보관하는 대신 스마트폰 하나로 간편하게 물건을 구매할 수 있게 한 근거리 무선통신(NFC) 기술이 확산하고 있다.

특히 스마트폰의 대중화로 NFC 기술에 기반을 둔 금융 결제와 거래도 늘어나고 있다. NFC 기술 활용은 그러나 편리한 만큼 다양한 보안 문제를 안고 있는 것으로 드러나 주의가 요망되고 있다.

8일 백종현 한국인터넷진흥원(KISA) 수석연구원과 염흥열 순천향대학교 정보보호학과 교수가 쓴 ‘NFC 기반 모바일 서비스 보안 위협 및 대책’이란 제목의 연구논문을 보면 NFC 기술의 장단점이 잘 분석돼 있다.

이 논문에 따르면 NFC 기술은 카드 인식이나 양방향 데이터 전송이 가능하기 때문에 모바일 결제 외에도 교통, 항공, 극장, 박물관, 스포츠경기장 같은 다양한 분야의 서비스에 활용될 수 있다.

이 때문에 최근 국외는 물론 국내에서도 이동통신사와 신용카드사가 잇따라 스마트 지갑 서비스를 선보이고 있다.

문제는 응용서비스의 특성, 응용프로그램(애플리케이션·앱) 자체의 취약성, 태그 보안 취약성처럼 NFC 기술 활용과 관련된 분야의 보안 수준이 완벽하지 못하다는 점.

우선 NFC를 활용한 스마트 지갑을 이용하려면 스마트폰에 앱을 설치해야 하는데 분실되거나 해킹당한 스마트폰에서는 앱 삭제와 초기화 기능을 활용하면 비밀번호를 다시 설정할 수 있다. 스마트폰이 사고로 남의 손에 넘어가면 그 안에 충전된 돈이나 쿠폰도 함께 넘겨주는 셈이다.

백 수석연구원은 “이 때문에 유효한 앱만이 NFC 칩에 접근하도록 하는 기능, 앱 배포 이전에 보안 기능 작동 여부 검증, 앱 자체에 대한 보안 잠금 기능 같은 대책 마련이 필요하다”고 강조했다.

그는 “해킹당한 스마트폰에서는 NFC 기술을 활용한 서비스가 안 되게 하는 것 같은 기술과 제도적 측면의 노력이 모두 뒷받침돼야 한다”고 진단했다.

NFC기술 이용과 관련한 보안 규정이 미흡한 점도 문제다. 영화관, 음식점, 카페, 버스정류장에서 간단한 태깅만으로 예약, 주문, 정보 확인하는 NFC 기술을 활용하게 하려고 2009년 보안 규격이 제정됐지만 실제로는 거의 사용되지 않는 것으로 드러났다.

염 교수는 “유일한 보안 규격임에도 실제 적용되지 않을 뿐 아니라 규격 자체에도 태그 정보가 위변조될 수 있는 취약점이 있다”며넛 “태그 정보가 보호되지 않으면 서비스 거부 공격(DoS)을 받거나 피싱을 통한 개인정보가 유출될 수 있다”고 지적했다.

무선 통신 구간에서의 보안 대책도 필요하다. NFC 서비스 이용을 위한 실제 접촉 거리는 5㎝ 미만이지만 전송되는 정보를 도청하는 것은 최대 10ｍ 거리에서도 가능하기 때문이다.

염 교수는 사용자의 계좌정보, 비밀번호, 개인정보를 보호하려면 무선 채널 암호화가 필요하다고 강조했다.

백 교수는 “리서치 업계는 2016년 전 세계인의 50%가 NFC가 탑재된 스마트 디바이스를 사용할 것으로 내다봤다”며 “NFC 기술의 혜택을 제대로 누리려면 관련 보안 대책이 먼저 확실하게 마련돼야 한다”고 말했다.

연합뉴스