며칠 전 삼성페이의 보안 결함에 대해 전해 드렸습니다. 결제를 위해 생성된 보안 토큰을 무선으로 가로채고 다른 곳, 다른 기기에서 사용할 수 있다는 내용이었습니다. 라스베이거스에서 열리고 있는 블랙햇 보안 컨퍼런스에 참석한 보안 연구원 살바도르 멘도사(Salvador Mendoza)가 신용카드 정보 탈취 후 다른 장비를 이용해 결제하는 모습을 담은 동영상까지 함께 공개하면서 알려지게 됐는데요. 삼성이 이를 반박하는 내용의 성명과 문답 형식의 PDF 문서를 보안 블로그를 통해 7일(미국시간) 공개했습니다.

- 삼성 페이, 무선으로 카드 훔치고 다른 기기에서 사용할 수 있는 취약점 발견 - 더기어

전체적인 내용은 삼성은 다층 보안 시스템을 사용하며 절대적으로 안전하다는 내용입니다. 암호화된 토큰은 카드 번호로 변환할 수 없고 새로운 토큰을 생성하는 것도 불가능하다는 겁니다. 멘도사는 삼성의 암호화된 시스템이 허술하기 때문에 몇 개의 토큰만 있으면 다른 토큰을 유추해서 생성할 수 있다고 주장했습니다. 하지만 삼성은 토큰 자체를 생성하는 것도 어렵고 단순히 토큰만 생성할 수 있다고 해서 결제를 할 수 있는 것이 아니라며 이 내용도 반박했습니다.

그렇다면 삼성페이는 완벽하고 결점이 없는 걸까요? 함께 배포된 PDF 문서를 보면 가능성이 있음을 인정하고 있습니다. 다만, 순서도 맞아야 하고 복잡한 조건이 충족되어야 한다고 설명하고 있습니다. 정상적인 기기에서 결제를 요청한 토큰을 무선으로 가로채고 이것이 정상 사용되기 전에 쓸 수 있다면 이론적으로는 가능합니다. 삼성은 매우 어려운 조건을 갖췄을 때 발생할 수 있는 잠재적 위험으로 간주하고 있다고 설명하고 있습니다.

일부 전문 매체에서는 전문 기술이 없는 일반인이라면 상당히 복잡하게 들리겠지만 전문 지식과 장비만 있다면 생각보다 어렵지 않다고 설명하고 있습니다. 금전적인 피해가 발생할 수 있는 문제인 만큼 완벽한 보안이 완성되기를 바랍니다.  

[리뷰전문 유튜브 채널 더기어TV]