Fuze카드 보안취약점 공개
여러장의 신용카드를 한장의 카드에 담을 수 있는 Fuze카드, 국내기업이 개발한 이 카드는 원래 LG페이로 만들어 질뻔하다가, LG페이가 삼성페이처럼 스마트폰을 이용한 마그네틱방식으로 방향을 변경하면서 계획이 틀어졌는데요. 이 회사는 위기를 기회 삼아 해외 클라우드 펀딩사이트에 Fuze카드를 소개하면서 위기를 극복했습니다.
▼200만달러가 넘는 금액을 펀딩받으면서 사람들에게 꽤 좋은 반응을 얻는 Fuze카드, 하지만 최근 이 카드의 취약점이 발견됐습니다. 보안컨설팅 업체 ICE9는 최근 유튜브를 통해 FUZE카드를 해킹하는 모습을 공개했는데요. 영상을 보면 카드에 저장된 여러장의 카드번호와 유효기간 CVV를 불과 1~2분 만에 해킹하는 모습을 확인할 수 있습니다.(FUZE카드는 최대 30장의 신용카드를 저장할 수 있음)
▼영상의 주인공인 ICE9의 마이크 라이언(Mike Ryan)은 이 카드를 해킹하기 위해 X-ray를 활용해 카드의 구조를 분석했다고 합니다. 이후 그는 블루투스를 이용하면 이 카드의 모든 정보에 접근할 수 있다는 사실을 발견했는데, 이를 위해 블루투스 페이링을 하는 방법은 너무나 간단했다고 설명했습니다.
▼그는 Fuze카드와 블루투스 페어링을 할 때 별도의 인증절차가 없는 것이 문제라고 지적했는데요. 블루투스 페어링을 위해서는 카드 LCD화면에 나오는 6자리 비밀번호를 입력해야 하는데, 이 때 별도의 본인확인 절차가 없다는 것이 문제라고 설명했습니다. 마이크는 누구나 이 카드를 1분 정도만 소지할 수 있으면 페어링이 가능하며 페어링이 된 후에는 FUZE카드에서 제공하는 잠금기능을 우회해서 카드에 저장된 모든 카드정보에 접근할 수 있다고 합니다.
▼따라서 결제를 위해서 이 카드를 건내 받은 가게 사장님이 결제를 하는척하면서 블루투스 페어링을 해버리면, 카드의 저장되어 있던 여러장의 신용카드 정보가 한꺼번에 유출될 수 있는 것입니다. ICE9는 해당 취약점을 2월에 리포팅 했지만 4월까지 별도의 업데이트가 이뤄지지 않아 해당 취약점을 공개했다고 밝혔습니다. 이 취약점이 있는 펌웨어 버전은 M:0.1.73 / B:9.7.4 라고 합니다.
▼하지만 여전히 FUZE카드가 일반 플라스틱 카드보다 보안적인 측면에서 유리하게 사실입니다. 일반 신용카드는 모든 정보가 외부에 공개되어 있기 때문에 사진만 찍으면 카드번호와 유효기간이 쉽게 유출되지만, Fuze는 해당 정보를 얻기 위해서는 블루투스 페어링이 필요하기 때문인데요. 따라서 FUZE카드를 사용하시는 분들은 앞으로 카드를 다른 사람에게 건낼 때 그 사람이 이상한짓(?)을 하지 않는지 세심한 주의가 필요해 보입니다. Fuze 카드를 만든 브릴리언츠에서는 4월 19일 패치를 배포할 계획이라고 밝혔습니다.