보안뉴스
뉴욕 지하철, 웹사이트 통해 자랑하던 히스토리 기능 일시적으로 중단시켜
문정후 기자
입력 : 2023-09-05 16:26
뉴욕 지하철은 승객들이 자신의 이동 경로를 편리하게 파악할 수 있도록 히스토리 기능을 사이트를 통해 제공하고 있었다. 하지만 문제의 소지가 분명해 보인다는 제보가 들어가자 지하철 측은 해당 기능을 차단했다.
[보안뉴스 문정후 기자] 뉴욕시 교통 담당국인 MTA(Metropolitan Transportation Authority)가 비대면 지불 시스템과 관련된 기능 하나를 비활성화시켰다. 해당 기능에 대한 남용과 악용이 너무 쉬우며, 이를 통해 특정 인물에 대한 추적이 가능해지기 때문이라는 제보가 들어왔기 때문이다. 그 전까지는 누구나 마음만 먹으면 타인이 지난 7일 동안 어디로 다녔는지 파악할 수 있었다고 한다.
[이미지 = gettyimagesbank]
이러한 사실은 404미디어(404 Media)라는 매체에서 처음 보도했다. A라는 인물이 지하철을 탈 때 교통비를 내기 위해 신용카드를 개찰구나 표 판매기에 가져다 댄다고 했을 때, B라는 인물이 그 신용카드 번호만 취득하게 된다면 A가 지하철을 타고 돌아다닌 경로와 시간을 파악할 수 있다는 내용이었다. B가 A를 이런 식으로 추적하기 위해 해야 하는 일은 A의 신용카드 번호를 뉴욕 교통 담당국인 MTA의 ‘원메트로뉴욕(One Metro New York, OMNY)’ 웹사이트에 입력하는 것 뿐이었다. 그 어떤 인증 절차도 발동되지 않는다.
신용카드 번호를 알아낸다는 건 공격을 기획하고 있는 이들에게 있어 그리 어려운 일이 아니다. 피해자의 지갑을 훔쳐내도 되고, 불특정 다수의 신용카드 정보를 지하 시장에서 구매할 수도 있다. 보안 업체 콤패리테크(Comparitech)가 지난 8월 발표한 보고서에 의하면 다크웹에서 거래되는 카드 정보(카드 번호, CVV, 만료일, 카드 소유자 이름 등)는 평균 17.36달러라고 한다. 물론 어떤 소유주의 어떤 카드이며, 어느 정도 자산에 묶여있는지에 따라 가격은 천차만별로 달라지기는 한다. 하지만 신용카드 번호 단독으로만 구매한다고 했을 때 비싸서 못 구하는 사례는 거의 없다.
스토킹 위협
OMNY에서 신용카드 번호를 입력하면 지난 한 달 동안 지하철을 탄 기록들을 열람할 수 있다. 다만 사용자가 어느 역에서 기차를 탔는지까지만 나오고 어디서 내렸는지는 나오지 않는다. 하지만 몇 시 정도에 어느 역에서 전철에 탑승하는지만 알아도 누군가를 추적할 때 거주지나 근무지 근방을 알아내기에 충분하다고 404미디어는 경고하고 있다. 또 404미디어는 한 프라이버시 전문가와의 인터뷰를 통해 “신용카드 번호만으로 사용자들을 식별하면서 아무런 인증을 거치지 않도록 웹사이트를 설계해 놓은 건 그 자체로 심각한 문제”라고 지적하기도 했다.
MTA의 대변인인 유진 레즈닉(Eugene Resnick)은 “보도 내용을 인지하고 있으며, 제기된 내용에 어느 정도 동의하기에 OMNY 웹사이트의 히스토리 기능을 잠시 비활성화시켰다”고 발표했다. “신용카드를 사용해 교통비를 지급하며 전철을 타는 승객들 중 OMNY에 회원가입 하지 않고도 자신의 이동 이력을 열람하고 싶어하는 사람들이 많습니다. 거기에는 여러 가지 이유가 있을 수 있죠. 교통비를 빈틈없이 정산해야 한다거나, 특수한 목적의 리서치를 진행한다거나 하는 식으로요. 그런 필요를 충족시키기 위해 히스토리 기능을 도입했던 것이었습니다.” 또한 MTA는 신용카드 외에 다른 교통비 지불 방법도 제공하고있다고 레즈닉은 강조했다.
MTA는 승객들의 신용카드 정보를 따로 저장하지 않는다. 모든 카드 번호들은 토큰화 혹은 난독화를 거친 후에 처리된다. “이 때문에 MTA 웹사이트에서 히스토리 정보를 제공하긴 하지만 신용카드 정보는 하나도 가져가지 않고 있으며, 사용자들의 식별 역시 불가능한 상황입니다. 모든 것이 익명으로 진행되고 또 제공됩니다.”
잠시 잊고 있던 보안 우려 사항
이 작은 사건은 팬데믹 기간을 거쳐오며 우리가 잠시 묻어두었던 보안 관련 사안 하나를 끄집어내고 있다. 바로 비대면 지불 기술이다. 이미 수년 째 우리의 실생활 속에 있었던 것이긴 하지만 팬데믹 기간 동안 폭발적으로 불어났고, 지금은 어디를 가도 볼 수 있다. 2028년까지 비대면 지불 기술 시장이 6조 3천억 달러 규모로 늘어날 것이라는 전망도 있을 정도다. 금융권들도 지불을 수식간에 처리해 주는 이 기술에 주목하고 있으며, 앞으로 다양한 응용 기술들이 파생될 것으로 기대되고 있다.
하지만 신기술은 언제나 새로운 걱정거리를 수반한다. 이번 뉴욕 지하철 시스템에서 벌어진 이 작은 사건 하나도 신기술을 ‘편리’라는 관점으로 활용했을 때의 맹점을 드러낸다. 스토킹이라는 중대 범죄로 이어질 수 있었던 일이라 ‘작다’고 하기에는 어폐가 있으나, 일단 대대적인 관심을 받았던 사건은 아니기 때문에 그렇게 표현한다. 비대면 지불 기술로 인해 발현될 수 있는 거대 사건의 작은 씨앗을 봤다고 하면 조금 더 말이 될지 모르겠다.
지금 금융권이나 보안 업계 모두 비대면 지불 기술의 불안전한 부분에 대해 침묵하고 있다. 신기술이기도 하고, 그러므로 연구가 더 필요하기도 할 것이다. 막 성장해가는 산업이라 찬물을 끼얹고 싶지 않은 마음도 있을 수 있다. 지금은 그래도 괜찮은 듯하다. 하지만 사이버 공격자들은 가만히 앉아서 기회를 기다리는 부류들이 아니다. 어디선가 비대면 지불 방식으로 한탕 크게 노릴 수 있는 방법이 한창 연구되고 있을 것이 분명하다. 그들보다 우리가 먼저 안전 조치를 고안해내기를 기대한다.
글 : 자이 비자얀(Jai Vijayan), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
문가용기자 기사보기
