해외 보안연구원들이 삼성페이에서 무선으로 카드 정보를 탈취하고 다른 폰을 이용해 사용할 수 있는 취약점을 발견했다.
 
삼성페이는 NFC와 마그네틱 방식 모두를 지원하는데 이중 마그네틱 방방식이 문제가 되었다. 삼성페이의 마그네틱 기반 무선 지불 시스템은 해커가 디바이스를 통해 신용카드 번호를 가져올 수 없도록 크레딧카드의 정보를 토큰으로 암호화하고 이를 자기장 신호로 변환해 결제한다. 그러나 토큰이 생각보다 안전하지 않다는 것이 문제였다.
 
Salvador Mendoza는 토큰화 프로세스가 한계가 있고 토큰의 시퀀스를 매기는 방법이 예측가능하다는 것을 알아내었다. 그는 블랙햇 발표에 앞선 이메일에서 토큰화 프로세스가 앱이 첫 토큰을 만들어낸 후 취약해져 다음 토큰을 예측가능해 진다고 설명했다. 이를 이용해 공격자는 토큰을 삼성페이 디바이스로부터 훔쳐 제한없이 사용가능하다고 설명했다.
 
Mendoza는 유튜브를 통해 그가 멕시코에서 그의 친구중 한 명에게 토큰을 보냈고, 그는 그것을 자기 스푸핑을 통해 그것을 사용하는 것을 시연했다. 심지어 삼성페이는 멕시코에서는 아직 사용이 불가능하다. 다음은 관련 유튜브 영상이다.

 

Mendoza는 손목에 차고 그가 누군가의 스마트폰을 집어들었을 때 무선으로 마그네틱 보안 전송을 훔쳐내(MST) 그의 이메일로 토큰을 보내는 장치를 만들었다. 이를 이용해 그는 다른 폰으로 그것을 컴파일해 보낼 수 있다. 또 그는 하드웨어를 합법적인 카드리더 기기에 숨겨 사용할 수도 있다. 그런 후 그는 자가 제작 MagSpoof기기에 토큰을 넣어 로드했다.
 
Mendoza는 "가맹은행으로부터의 모든 신용카드, 직불카드, 선불카드는 이러한 종류의 공격에 취약하다"고 말했다. 그러나 그는 기프트카드는 영향을 받지 않는다고 말했다.
 
삼성은 이 취약점을 수정할 것인지에 대해서는 언급을 하지 않았다. "삼성페이는 가장 발전된 보안 기능을 가지고 만들어졌다. 삼성 녹스 보안 플랫폼과 결부되어 모든 지불 정보는 암호화되고 안전하게 유지하고 있다"라고 삼성전자 대변인은 말하며 "만약 잠재적인 취약점이 존재한다면, 우리는 즉시 조사하고 해당 문제를 해결할 것이다"라고 덧붙였다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 페소아(fesoa) 외신기자>