• mainvisual.jpg
  • Untitled-1.jpg
About Lab 아이콘

About Lab

ISAA 연구실 소개

VIEW DETAIL
Members 아이콘

Members

ISAA 연구실 연구원 소개

VIEW DETAIL
Research 아이콘

Research

주요 연구내용 소개

VIEW DETAIL
Project 아이콘

Project

ISAA 연구실 프로젝트 소개

VIEW DETAIL

ISAA NOTICE MORE VIEW +

  • 2019-07-26 더보기

    [ISAA Lab.] 카드정보 56만건 대량 유출...`보이스피싱ㆍ해외 부정거래 유의`

    [앵커멘트]최근 가맹점 포스 단말기를 통해 56만개 카드의 카드번호와 유효기간이 무더기로 유출되는 사건이 발생했습니다. 해당 정보만 가지고도 해외 사이트에서는 부정결제가 일어날 수 있는데다 수사기관을 사칭해 비밀번호까지 요구하는 보이스피싱도 우려됩니다. 이충우 기자입니다. [기사내용]하나카드 홈페이지의 카드번호 도난사건 안내문입니다.가맹점 POS 단말기에서 카드정보가 유출된 것으로 추정되며, 이번 사건으로 인한 부정사용이 확인되면 전액 보상하겠다는 내용입니다.피해 방지를 위해 해당 고객에겐 개별 안내를 하고, 전담 안내센터를 마련해 카드번호 유출 여부를 조회할 수 있도록 하고 있습니다.[하나카드 ARS: 카드번호 도난 여부 전담 확인 서비스입니다. 손님은 카드번호 도난 대상자가 아니니...]경찰청과 금융감독원에 따르면, 8개 카드사와 은행 등 15개 금융기관에서 발급한 카드의 번호와 유효기간 정보가 이번에 대량 유출된 것으로 나타났습니다.사용가능한 유효카드에서 유출된 건수가 56만 8,000건에 달합니다.이중 64건, 0.01%에서 2,475만원의 부정사용이 발생한 것으로 확인됐습니다.금감원 분석 결과, 통상적으로 전체 카드거래서 이상거래 징후가 탐지되는 카드 비율은 0.02~0.03%.평소 탐지비율과 비교하면 아직 이번 사건으로 인한 직접적인 피해는 없는 것으로 보인다고는 하지만 피해 고객들은 걱정스러울 수 밖에 없습니다. 지난달엔 KB국민카드가 빈어택 해킹을 당해 고객카드 번호 2,000개가 유출되는 사고가 발생했습니다.카드번호와 유효기간만 알면 결제가 가능한 해외사이트에서 해커들이 유효카드인지 확인하기 위해 소액결제 후 취소하며 피해가 드러났습니다.[곽진 아주대 사이버보안학교 교수 : 국내 같은 경우 카드번호와 유효기간만 가지고 부정사용하는 사례가 발생하긴 쉽진 않은 상황이고, 해외는 카드번호와 유효기간만 가지고 결제를 제공하는 사이트들이 현재도 존재하기 때문에 그 부분을 악용해서 부정사용이라든가 원치 않는 결제가 발생할 가능성이 존재한다고...]금감원은 이번 사건을 악용해 수사기관을 사칭하면서 카드 비밀번호 등 금융거래정보를 요구하거나 보안강화 등을 앱설치를 유도하는 사기행각에도 유의해야한다고 강조했습니다.   [출처 : 머니투데이방송​]

  • 2019-07-22 더보기

    [ISAA Lab.] 이민경 학부과정, ‘2019 대학생 금융보안 캠프’ 장려상 수상

        2019.07.12(금)​ 우리 학교 이민경 학생(사이버보안학과, 3학년)이 7월 정보보호의 달을 맞아 열린 ‘2019 대학생 금융보안 캠프’에서 장려상을 수상했다. 이민경 학생은 금융 빅데이터 활용 아이디어 콘테스트에서 ‘Digital twin을 기반한 금융 인프라 시뮬레이션’을 주제로 우수한 성적을 거뒀다. 곽진 교수(사이버보안학과)가 지도를 맡았다. ‘2019 대학생 금융보안 캠프’는 지난 10일부터 3일간 KB국민은행 천안연수원에서 전국 36개 대학교 100여명 학생들이 참여한 행사로, 금융보안원, 금융보안포럼, 금융정보보호협의회가 주최하고 금융위원회, 금융감독원, KB국민은행이 후원했다. 캠프 기간 동안 정보보안 세미나를 비롯해 금융보안 관련 진로탐색 멘토링, 금융 빅데이터 활용 아이디어 콘테스트 등의 프로그램이 진행됐다.     [출처 : 아주대학교]

  • 2019-07-03 더보기

    [ISAA Lab.] 또 `빈어택`.. KB카드 카드번호 2000개 노출

    KB카드 “신속 대처로 고객 피해 차단” 빈어택 이란? 그래픽=신동준 기자해커들이 최근 KB국민카드 고객 2,000명의 신용카드 번호를 알아내 무단 결제에 성공한 것으로 드러났다. 2년전 한국씨티은행 체크카드 사태로 알려진 일명 ‘빈(BIN) 어택’이란 해킹 방법을 통해서다. 다른 카드사들도 최근 비슷한 빈 어택을 받았는데, 카드사로서는 마땅한 예방 방법도 없어 업계는 곤혹스러워 하고 있다.◇해커들, 프로그램 돌려 카드번호 조합2일 금융감독원과 카드업계에 따르면, KB국민카드의 ‘로블 시그니쳐 비자’ 카드의 실제 일련번호 2,000개가 지난달 25일 빈 어택을 당해 해커 손에 넘어갔다. 당시 온라인 소비자 커뮤니티에는 “로블 시그니쳐 카드 일련번호가 새 나갔다” “새벽에 외국에서 1달러씩 결제됐다”는 글들이 다수 게시됐다.빈 어택은 해커들이 온라인 결제에 필요한 실제 고객의 카드번호를 알아내기 위해 사용하는 방법이다. 빈(BINㆍBank Identification Number)은 은행이나 카드사의 고유번호를 의미하는데, 통상 카드 일련번호 16자리 중 앞 6자리다. 해커들은 특정 카드의 앞 6자리가 같은 점을 포착해, 나머지 10자리 숫자를 프로그램으로 무작위 조합해 수많은 카드 번호를 만든 뒤 실제 결제를 시도해 ‘진짜 카드번호’를 골라내는 것이다.해커들은 알아낸 카드 번호로 일반 물품을 구매하는 대신, 온라인 마약 유통 공간으로 유명한 ‘다크웹’에 팔아 넘긴다. 번호를 들킨 고객이 졸지에 마약구매자가 될 수도 있는 셈이다. 지난 2017년 씨티은행도 체크카드 번호가 빈 어택으로 노출된 바 있다. 최근엔 다른 카드사들도 KB카드보다 규모는 적지만 비슷한 빈 어택을 당한 것으로 알려졌다. 카드업계 관계자는 “크고 작은 규모의 빈 어택이 계속 시도되고 있다”고 전했다.KB카드는 지난주 빈 어택 사고를 인지한 뒤, 피해 카드 사용을 우선 정지시키고 해커들이 알아내기 어려운 방식의 새 카드번호를 발급했다고 밝혔다. 로블 시그니쳐 비자 카드 회원은 총 5만2,000명이지만 “이번 사고 피해자 2,000명과 나머지 회원은 번호 특성이 달라 더 이상의 피해는 없을 것”이라고 KB카드 측은 밝혔다. 금감원은 “KB카드가 즉시 금감원, 다른 카드사들과 사고내용을 공유해 추가 피해를 막았다”며 “아직 별도의 검사 계획은 없다”고 말했다.◇아마존 이용, 정상거래와 구별 어려워이번 빈 어택이 2년 전 씨티은행 건과 다른 건, 해커들이 글로벌 전자상거래 업체 ‘아마존’을 범행에 이용했다는 점이다. 해커들은 무작위 조합한 번호로 아마존에 1달러 결제를 요청하고, 결제가 승인되면 실제 카드번호 임을 확인했다.아마존은 고객 편의를 위해 통상 다른 상거래업체가 요구하는 ‘CVC번호’를 결제시 요구하지 않는다. 해커들로선 카드번호와 유효기간만 알면 결제 시험을 쉽게 해볼 수 있다.또 아마존은 고객이 최초 카드 결제를 시도하면, 이 카드가 결제 가능 카드인지 확인하기 위해 카드사에 ‘1달러 결제 승인’을 요청한다. 승인이 되면 곧바로 결제를 취소하고, 물품 거래를 진행하는 식이다. 해커들의 ‘1달러 결제 요청’이 아마존의 결제 시험 방식과 유사해 카드사의 ‘이상금융거래탐지시스템(FDS)’으로도 구별하기 어렵다.카드사들은 곤혹스러워 하고 있다. 한 카드사 관계자는 “FDS로 걸러내려고 해도 정상 거래까지 막게 될 가능성이 높아 쉽지 않다”고 말했다. 금감원 관계자도 “이번에 KB카드가 대상이 됐을 뿐, 다른 카드사에게 시도했으면 똑같은 피해가 발생했을 것”이라고 설명했다.곽진 아주대 사이버보안학과 교수는 “카드 고객 스스로 평소 해외결제를 막아두거나, 가급적 상거래 사이트에 카드번호를 저장하지 않는 등 빈 어택을 당해도 ‘곧바로 결제가 가능한 카드’로 분류되지 않게 하는 노력이 필요하다”고 조언했다.  [출처 : 한국일보​]

TOP