꼭 분기마다 한번씩은 신용카드, 쇼핑몰, 은행권 관련하여 보안관련 뉴스를 접하게 됩니다.
이글을 보시는 분들도 대부분 카드로 물건을 구입해본 경험이 있으리라 생각듭니다.
이번에 말하고자하는것은 물건구매시 본인인증 시스템에 관한 내용입니다.
일반적으로 쇼핑몰에서 카드로 물건을 구입하게 되면 공인인증서를 요구하는 경우와 안심클릭(소액결제)로 이루어지는 두가지 형태로 결제를 진행하게 됩니다.
공인인증서의 경우 30만원 이상 결제시 이용하게 되며 소액결제는 30만원 미만인 경우 사용하게 되는 시스템 입니다.
안심클릭 거래순서
이 안심클릭 본인인증 시스템은 현재 신한,롯데,현대,삼성,외환 등의 카드사가 이용하고있는것으로 알려져 있습니다.
그외 카드사중 일부는 ISP 결제 방식으로 진행하고있습니다.
이와 같은 글을 쓰게 되면 항상 나오는 이야기가 해킹프로그램에 의한 유출 문제입니다.
하지만 이번에는 이와는 무관한 본인인증 관련 문제이므로 논외로 하겠습니다.
보통 본인인증 수단으로는 공인인증서,카드,휴대폰 주민등록발급일자로 확인하는 방법이 있습니다.
문제는 휴대폰 인증입니다.
이 휴대폰인증이 사용자를 확인하는 수단으로 사용하고있으나 문제는 카드사용 명의자와 휴대폰명의자가 같은지 비교를 하지않는다는 점입니다.
(직접해보시기 바랍니다.)
카드의 길을생각한다던 S카드(구LG)
카드사용자의 명의와 일치하는 본인인지 확인하지 않고 그냥 휴대폰에 인증번호를 전송하여 이 인증번호 값이 맞다면 진행하도록 하고있습니다.
즉 친구, 가족, 그외 어느 누구의 휴대폰으로도 인증을 받을수 있도록 되어있습니다.
조회/인증 서비스 이용에 관한 특약에 따르면
1. “계좌성명조회”라 함은 “갑”이 고객이 제공한 성명과 계좌번호를 “을”이 “을”의 “제휴금융기관”에 전송한 후 “제휴금융기관”으로 부터 받은 성명과 비교하여 일치 여부를 확인하고 “갑”에게 전송하는 서비스를 말한다.
2.신용카드 본인인증”이라 함은 “갑”이 고객이 제공한 성명, 주민번호, 신용카드번호, 유효기관, 비밀번호2자리를 “을”의 “제휴신용카드사”에 전송한 후 “제휴신용카드사”에서 고객인증 여부를 확인하고 “갑”에게 전송하는 서비스를 말한다.
3. “휴대전화 본인인증”이라 함은 “갑”이 고객이 제공한 성명, 주민번호, 휴대전화번호, 이동통신사를“을”의 “제휴이동통신사”에 전송한 후 “제휴신용카드사”에서 “고객”에게 인증번호를 발송하고, “고객”이 입력한 인증번호를 확인하고 “갑”에게 전송하는 서비스를 말한다.
4. “인증번호” 고객이 이동통신사로부터 SMS를 통해 전달받은 6자리 숫자
5. “제휴기관”이라 함은 “제휴금융기관.”제휴신용카드사”, 제휴이동통신사”를 말한다
1. “계좌성명조회”라 함은 “갑”이 고객이 제공한 성명과 계좌번호를 “을”이 “을”의 “제휴금융기관”에 전송한 후 “제휴금융기관”으로 부터 받은 성명과 비교하여 일치 여부를 확인하고 “갑”에게 전송하는 서비스를 말한다.
2.신용카드 본인인증”이라 함은 “갑”이 고객이 제공한 성명, 주민번호, 신용카드번호, 유효기관, 비밀번호2자리를 “을”의 “제휴신용카드사”에 전송한 후 “제휴신용카드사”에서 고객인증 여부를 확인하고 “갑”에게 전송하는 서비스를 말한다.
3. “휴대전화 본인인증”이라 함은 “갑”이 고객이 제공한 성명, 주민번호, 휴대전화번호, 이동통신사를“을”의 “제휴이동통신사”에 전송한 후 “제휴신용카드사”에서 “고객”에게 인증번호를 발송하고, “고객”이 입력한 인증번호를 확인하고 “갑”에게 전송하는 서비스를 말한다.
4. “인증번호” 고객이 이동통신사로부터 SMS를 통해 전달받은 6자리 숫자
5. “제휴기관”이라 함은 “제휴금융기관.”제휴신용카드사”, 제휴이동통신사”를 말한다
이러한 허술한 본인인증을 하는 이유가 사용자의 편의 즉
휴대폰을 두고 왔다던가 분실의 이유로 다른사람의 휴대폰을 통해 지금 카드를 사용하려고한다것을 인증 받는것인데 이게 무슨 본인인증이라는 말입니까?
아래는 예전에 작성한 핸드폰 명의도용 방지 서비스 글입니다.
[정보보안] - 무료 핸드폰 명의도용 방지 서비스 - msafer
명의 도용을 막으면 뭐합니까? 남꺼 빌려쓰면 되는데....
이건 구멍 뚫린것이아니라 그냥 대문 열어놓고 도둑이 들기를 기다리고있는 꼴입니다.
하물며 회원가입을 하는경우에도 본인인증을 하기위해 본인 명의의 휴대폰임을 검증합니다
네임체크 서비스, 보통회원가입시 이루어진다
특히 30만원 이상 결제시 공인증서 사용이라는 수단을 두면 뭐합니까?
특히나 소액결제는 게임머니나 캐시를 구입하는데 이용되어
카드정보와 개인정보롤 탈취한후
캐시구입 - >게임 아이템 거래사이트를 통한 판매 (돈새탁) ->판매대금 인출->
카드도용신고->계좌동결->개임유저의 캐시 동결
캐시구입 - >게임 아이템 거래사이트를 통한 판매 (돈새탁) ->판매대금 인출->
카드도용신고->계좌동결->개임유저의 캐시 동결
의 순서로 이루어저 카드한도가 되는한 30만원 미만으로 여러변 결제를 해버려 돈새탁 과정을 거쳐 2중 3중의 피해자를 만들어버리고 있습니다.
더불어 중국발 범행이라는 것에대하여 검거율이 떨어지고있는것도 안타까운 소식입니다.
출처 :한경닷컴
카드사에서는
일터지면 니네 사용자 잘못이다. 개인정보 관리를 잘못하거나 사용하는 PC 관리를 잘못해서 문제가 생긴것이라고 일관하고 있습니다.
더불어 무슨 상담전화는 상담하자는건지 전화비를 뺴보겠다는건지 20분기다려도 통화도 않되고 죄없는? 상담원은 그져 죄송합니다 고객님으로 대처..
더불어 무슨 상담전화는 상담하자는건지 전화비를 뺴보겠다는건지 20분기다려도 통화도 않되고 죄없는? 상담원은 그져 죄송합니다 고객님으로 대처..
발급하고나면 땡하는 카드사의 근성 이제는 고쳐져야합니다.
'정보보안' 카테고리의 다른 글
| 당신의 PC는 안전합니까? - V3Lite,사이트가드 소개 (46) | 2010.07.09 |
|---|---|
| 당신의 PC는 안전합니까? - DDoS 1년을 되돌아보며 (6) | 2010.07.07 |
| 구멍뚫린 본인인증 체계, i-PIN도 필요없다 (3) | 2010.06.08 |
| 좀비PC를 청소하는날? 욕나오는 18일? (26) | 2010.05.19 |
| 카스퍼스키 바이러스 DB, 400만 돌파 그리고 성능테스트 결과 (31) | 2010.04.30 |
| 넷두루미는 알고 인터넷 하시나요? (10) | 2010.04.28 |
| 스마트폰, 악성코드 등장, 전용백신 사용권장 (12) | 2010.04.26 |
