S p e c i a l R e p o r t 4 2.1 주요 이해 관계자 주요 이해 관계자는 서비스를 수행하는데 이익 관계 에 있는 사업자를 말하며 이해 관계자가 주축이 되어 서비스를 구성하게 된다. 각 이해 관계자는 다음과 같 은 목적으로 모바일 NFC 결제 서비스

S p e c i a l T h e m e 무 선 근 접 통 신 N F C 모바일 NFC기반 보안 동향 이 수 미 금융보안연구원 u-금융연구팀 선임연구원 임 형 진 금융보안연구원 u-금융연구팀 책임연구원 장 재 환 금융보안연구원 u-금융연구팀 팀장 성 재 모 금융보안연구원 정보보안본부 본부장 1. 머리말 최근 스마트 기기는 결제, 할인쿠폰 등 각종 기능을 제 공하는 수단으로 진화되면서 통신과 금융이 융합된 모바 일 NFC 서비스의 시장이 급성장할 것으로 전망되고 있다. 특히 모바일 NFC 결제 서비스 시장의 활성화가 예상됨에 따라 모바일 NFC 결제 서비스는 국내 외적으로 널리 주 목받고 있다. 하지만 이를 주도할 수 있는 보안 관련 기술 력이 아직 미미한 상태이다. 모바일 NFC 결제 서비스의 활 성화에 의해 금융회사뿐 아니라 관련 사업자들도 고객 정 보 이외의 금융 정보까지 확대되어 관리될 가능성이 내재 됨에 따라 보안에 대한 관심도는 더욱 고조되고 있다. 이 에 NFC Forum, GSMA 등 관련 단체에서는 모바일 NFC 결제 서비스를 이루는 각 구성요소의 역할, 기능, 보안요구 사항 등을 제시하여 보안의 중요성을 강조하였다. 현 시점 에서 국내에서도 모바일 NFC 결제 서비스의 보안 위협을 사전에 분석하고 이에 대응되는 보안기술을 마련하여 보 안 관점에서 적절한 서비스 구조를 형성해야 할 것이다. 2. 주요 구성요소 모바일 NFC의 주요 구성요소로는 결제 서비스를 주 도하는 서비스 이해 관계자들과 보안요소로 이루어진 다. [그림 1]의 모바일 NFC 아키텍처에서 볼 수 있듯이 주요 이해 관계자는 네트워크 사업자, 서비스 제공자, 단말기 제조사, 신뢰된 서비스 관리자로 이루어지며 보 안요소는 마이크로 SD, UICC, 임베디드 하드웨어, 베이 스밴드 프로세스로 분류된다. 다음은 각 요소에 대한 설명이다. Baseband Processes SE NFC Controller Handset SD Card Management System Service Provider (SP) Application Provider Information System Trusted Service Manager (TSM) UICC Management System OTA NFC Service Manager Card Issuers (MNO, SP, HM) [그림 1] 모바일 NFC 아키텍처 Embedded Hardware Management System 052 07/08 2011

S p e c i a l R e p o r t 4 2.1 주요 이해 관계자 주요 이해 관계자는 서비스를 수행하는데 이익 관계 에 있는 사업자를 말하며 이해 관계자가 주축이 되어 서비스를 구성하게 된다. 각 이해 관계자는 다음과 같 은 목적으로 모바일 NFC 결제 서비스를 구성하고 있다. 1 네트워크 사업자(MNO: Mobile Network Operator) 고객의 가입자 정보가 저장된 SIM(혹은 USIM) 을 기기에 탑재하여 고객 관리 무선단말기 환경 인프라를 이미 보유하고 있어 서비스를 구축하기에 용이 결제 외 다양한 NFC 서비스를 제공하여 고객 확보에 NFC 기술 활용 2 서비스 제공자(SP: Service Provider) 금융회사(Financial Institution)와 같이 신규 서 비스로 발생하는 수익 창출 및 고객 확보 SD카드(외장형 메모리) 등을 이용하여 별도의 서비스 진행 중이며 금융 고객이 이미 확보되어 금융 결제 중심의 서비스가 용이 3 단말기 제조사(HM: Handset Manufacturer) 모바일 NFC 기기를 제조하여 기기의 활용 가치 를 높여주는 상품으로 활용 NFC 기능과 보안요소가 탑재된 칩을 기본적으 로 내장된 기기 출시 4 신뢰된 서비스 관리자(Trust Service Manager) 보안요소와 결제관련 애플리케이션의 설치, 삭 제, 업데이트 등 주요 애플리케이션을 관리하고 문제 해결을 수행하는 중계자 역할 특히 이해 관계자 중 신뢰된 서비스 관리자는 다양 한 사업자 또는 이해 관계자 간에 발생할 수 있는 문제 들을 중간자적 입장에서 해결하고 관련된 정보 및 각 서비스의 라이프 사이클을 관리해주는 역할을 수행한 다. 예를 들어, 휴대전화를 이용한 결제 서비스의 경우 이동통신 사업자와 금융사의 서비스가 결합한 형태이 다. 이를 이용하는 고객은 금융서비스의 변경, 단말기 분실 등 환경 변경이 발생하게 되면 거래 중지, 데이터 복구 등과 관련된 민원이 발생하게 되고 민원 처리에 대한 혼선이 발생할 수 있다. 이처럼 서비스 활성화를 위해 이종 사업자 간 발생할 수 있는 기술적 또는 사업 적으로 상충되는 이해관계를 해결할 수 있는 신뢰된 서 비스 관리자에 대한 필요성이 제기되고 있다. 2.2 보안요소 (Secure Element) UICC Removable 보안요소는 애플리케이션을 설치, 관리 등을 할 수 있 는 플랫폼으로 [그림 2]와 같이 저장매체 분리 여부에 따라 분류할 수 있으며 다음과 같은 특징을 갖고 있다. 1 마이크로 SD(Secure Digital) 이동식 플래시 메모리 카드를 위한 포맷으로 서비 스 제공자가 네트워크 사업자와의 별개 서비스를 구성할 때 사용하며 최근 스마트카드와 마이크로 SD가 결합한 형태의 카드가 개발되어 활용 중 탈부착과 대용량의 메모리가 가능함으로 다양 한 서비스 제공이 용이하나 NFC 컨트롤러와의 통신에 대한 표준화 작업이 미비 2 UICC(Universal IC Card) 네트워크 사업자를 중심으로 개발 및 보급되어 3G, WiBro와 같은 광대역 네트워크 서비스와 연 동 가능 SD Secure Element Baseband Processor [그림 2] 저장매체 분류 Non Removable Embedded Hardware TTA Journal Vol.136 053

S p e c i a l T h e m e 무 선 근 접 통 신 N F C 유럽전기통신협회(ETSI)에서는 UICC와 NFC 컨트 롤러 간 인터페이스의 데이터 링크와 물리계층에서 표준 프로토콜 SWP(Single Wire Protocol)를 정의 3 임베디드 하드웨어(Embedded Hardware) 단말기 출시 시 제조사에서 기본적으로 NFC 기 능을 제공하여 출시된 상품으로 임베디드 하드 웨어에 보안요소 탑재 단말기의 가격 상승 요인이 되며 탈부착의 어려 움으로 기기 교체 시 재사용 불가능 4 베이스밴드 프로세서(Baseband Processor) 기기에서 통신 및 응용프로그램 운영을 관리하 는 요소로서 보안요소를 제공하기 위해 사용된 다면 별도의 매체를 추가할 필요는 없지만 단말 기 도난, 손실 등 발생 시 위협 발생 가능 3. 모바일 NFC 보안 위협 일반적으로 모바일 NFC 결제 서비스는 결제 애플리 케이션 및 발급 정보가 모바일 IC칩에 저장되고 서비스 고객은 결제 애플리케이션이 설치된 모바일을 이용해 온라인 또는 오프라인으로 결제하는 방식을 말한다. 이와 같은 모바일 NFC 결제 서비스에서 발생할 수 있 는 위협 구간을 다음과 같이 통신과 단말기(칩 포함)으 로 분류할 수 있다. 3.1 통신 상 위협 오프라인에서 모바일 NFC 결제 서비스를 이용하는 경우 기기 간 RF 통신을 수행한다. 기기 간 RF 통신으 로 안전하게 거래 정보를 관리하는 것과 서비스에 대한 가용성 등은 중요한 보안 문제로 대두되고 있다. RF 통 신 구간에서 발생할 수 있는 위협으로는 도청과 변조 가 있다. 기기 간 전송되는 RF 시그널을 도청하려는 공 격자의 능력이나 기기의 동작 방식 등에 따라 공격자 의 도청 성공 확률은 높아지게 되고, 시그널의 인코딩 방식에 따라 공격자는 시그널의 일부 또는 전체를 변조 할 수 있다. 이외에 모바일 NFC 기기 간 통신에서 발생 될 수 있는 주파수 교란, 중간자 공격 등의 위협이 가해 질 수 있으나 모바일 NFC 기기에서 부정확한 주파수 탐지 기능이 사용된다면 공격을 예방할 수 있다. 또한 모바일 NFC 결제 서비스는 Wi-Fi 및 3G 통신을 이용 하며 Wi-Fi 경우 무선 AP(Access Point)를 이용한 공 격 증가도 예상되는 위협이다. 대다수 사설 무선 AP가 상대적으로 보안이 취약한 상태로 운영되고 있으며, AP 패스워드가 아예 없거나 공장 초기 값, 취약한 암호화 알고리즘을 사용(WEP)하는 경우가 많기 때문이다. 이 러한 취약한 무선 AP를 통해 해킹이나 분산서비스거부 (DDoS) 공격 수행, 무선 AP에 연결된 클라이언트들의 공격 및 악성코드 감염 등이 발생할 수 있다. 3.2 단말기 상 위협 모바일(스마트폰 기반) NFC 결제 서비스 시 보안 위 협은 기존 스마트 폰 기반 결제 서비스에서 발생 가능한 보안 위협과 유사한 형태로 존재할 것으로 예상된다. [그림 3]은 스마트폰 기반 전자금융거래를 시도할 때 발생 가능한 보안위협에 대해 도식화 1) 한 것이다. 스마트 폰 기반 보안위협으로는 악성코드 유포, 피싱 공격, 애플 리케이션 및 플랫폼 변조 등으로 주요 입력정보 노출, 변 조, 루팅 등이 가능하며 이는 모바일 NFC 기기에서도 발생할 수 있는 위협이다. 그 예로 URL 스푸핑 공격을 이용하여 Worm-URL을 NFC 태그에 쓰고 NFC 기기가 NFC 태그를 읽을 때 Worm-URL이 로딩되어 기기는 공 격자가 원하는 경로로 이동하는 위협이 발생될 수 있다. 이외에도 보안요소가 탑재된 칩에 대한 부채널 공격이 있다. 부채널 공격의 경우 IC 카드와 같은 저전력 장치에 암호 알고리즘을 구현할 때 누출되는 연산 시간, 소비 전력, 전자파 등의 정보를 이용하여 구현된 암호 알고리 1) 금융부문 보안 가이드, 금융보안연구원, 2010 참조 054 07/08 2011

S p e c i a l R e p o r t 4 UI Application File system Platform 서비스 제공자 악성코드 유포 피싱공격 금융애플리케이션 변조 파일시스템 접근 플랫폼 변조 암호화 미적용 프로세스 메모리 접근, 중요 입력정보 노출 취약한 무선망 이용 네트워크 통신 (3G, Wi-Fi) 도난 및 분실 [그림 3] 스마트폰의 보안위협 분류 네트워크 통신 (3G, Wi-Fi) 즘에 이용된 주요 비밀정보를 알아낼 수 있게 된다. 4. 모바일 NFC 보안관련 동향 NFC Forum 2), ECMA International 3) 등에서 데이터 교환 형식, 태그 타입, 보안 프로토콜 등에 대해 NFC 관련 보안 표준을 정의하고 GSMA 4) 에서 모바일 NFC 기기에 대한 보안 고려사항 제시하였다. 본 장에서는 이 와 관련된 모바일 NFC 보안 표준 및 가이드 라인에 대 해 기술한다. NFC 기술표준은 ECMA-340(NFCIP-1)과 ECMA- 352(NFCIP-2)에 기술되어 있으며 NFCIP-1(Near Field Communication Interface and Protocol)은 NFC 통신 에 사용되는 시그널링 인터페이스와 프로토콜이 설계되 어 있으며 NFCIP-2은 기존 인터페이스 표준들 사이에 서 게이트웨이 기능 및 관련된 테스트 방법이 기술되어 있다. 이외 NFCIP-1기반으로 프로토콜 및 RF I/F 테스 트 방법에 대한 관련 표준도 제시하고 있다. 보안과 관련 된 주요 표준으로 ECMA에서는 ECMA-385를 발표했으 며 내용으로 NFCIP-1의 데이터 교환을 위한 보안서비스 및 보안 프로토콜을 제시하였다. ECMA-385(NFC-SEC) 은 NFCIP-1에 의해 NFC 기기 간의 통신이 연결된 후 보 안서비스 수행하게 되는데 [그림 5]와 같은 NFC-SEC의 보안 구조를 이루며 사용자는 NFC-SEC-SAP(Service Access Points)을 통해 NFC-SEC 서비스에 접근하게 된 다. NFC-SEC 서비스는 NFC-SEC 프로토콜로 NFC- SEC-PDU(Protocol Data Unit)를 교환한다. NFC-SEC 프로토콜 구성을 위해 키 공유 정의는 다음과 같다. 1 SSE(Shared Secret Service) : NFC 기기 간 암호 채널 형성을 위해 비밀키 생성 및 키 확인 (Key Confirmation) 과정 제공 2 SCH(Secure Channel Service) : SSE 서비스를 통 해 생성된 키를 이용하여 링크키를 생성하고 NFC 기기 간 통신 데이터의 기밀성과 무결성 제공 또한 ECMA는 NFC-SEC의 보안 구조 하에 보안 메커 니즘인 ECMA-386(NFC-SEC-01) 제시하였다. 우선 모 2) Royal Philips Electronics, Sony, Nokia 3사는 다양한 애플리케이션에 NFC기술 구현 및 표준화 촉진을 위해 설립 3) ECMA(European Computer Manufacturers Association) International은 정보와 통신 시스템을 위한 비영리 표준화 기구로서 ISO/IEC를 비롯한 여러 국제 표준 화 기구와 긴밀한 관계 유지, 특히 정보 및 통신 시스템의 표준화에 집중하고 있으며, 2002 년 9월부터는 NFC 시스템에 대한 표준 및 기술 보고서를 개발하는 NFC 태스크 그룹을 운영 4) 세계 최대 이통통신산업 연합체 TTA Journal Vol.136 055

S p e c i a l T h e m e 무 선 근 접 통 신 N F C ISO/IEC 21481 ECMA-352 (NFCIP-2) NFC-SEC User NFC-SEC User ISO/IEC 14443 (10cm이내 근접형 ) ISO/IEC18092 ECMA-340 (NFCIP-1) (10cm이내 NFC기기 간) ISO/IEC 15693 (1m 범위 주변형) NFC-SEC-SAP NFC-SEC Entity NFC-SEC-SDU NFC- SEC Connection NFC- SEC Protocol NFC-SEC-SAP NFC-SEC Entity NFC-SEC-PDU Protocol Test Methods ISO/IEC 23917 ECMA-362 RF I/F Test Methods ISO/IEC 22536 ECMA-356 NFCIP-1 Connection [그림 4] ECMA-NFC 관련 표준 [그림 5] ECMA-385 개념 바일 NFC 기기는 EC(Elliptic Curve Diffie-Hellman) 공 개 키와 개인 키를 소유한다는 가정 하에 SSE와 SCH를 시행한다. [그림 6]은 SSE를 위해 키(MK) 공유 과정을 나타내며 다음은 각 과정에 대한 설명이다. 1 Elliptic Curve Diffie-Hellman 키 교환(ECDH) 5) 과정으로 비밀 값 Z를 공유하고 이후 키 확인과정 (MacTagA, MacTagB) 수행 2 SSE 과정에서 키 공유와 확인과정이 성공적으로 수행되면 SCH 과정 진행 3 NFC 기기는 데이터의 기밀성과 무결성 제공을 위 해 암호 키와 무결성 키를 비밀 값 Z와 랜덤 값 등 으로부터 유도하여 공유 4 생성된 암호키와 무결성 키를 이용하여 NFC기 기 간 데이터를 AES CTR모드로 암 복호화 및 AES-CBC 모드로 무결성 확인 <표 1> ECMA-386 암호학적 함수 과 정 암호학적 함수 6) 보안 서비스 SSE (Shared Secret Service) SCH (Secure Channel Service) 키 공유 ECDH P-192 키 유도 함수 AES-XCBC-PRF-128 키 확인 AES-XCBC-MAC-96 기밀성 AES 128-CTR IV init:aes-xcbc-prf-128 무결성 AES-XCBC-MAC-96 재생 공격 방지 SN (Sequence Number) GSMA에서는 모바일 NFC 기기에 대한 보안 고려 사항 7) 으로 다음과 같이 크게 세 가지 사항으로 분류하 고 세부사항에 대해 제시하였다. 우선 모바일 NFC 기 기는 파일과 애플리케이션을 안전하게 관리할 수 있는 저장 공간이 필요하다. 즉 MicroSD, SIM, USIM, NFC Chip과 같은 보안요소가 적용된 칩과 NFC 컨트롤러 가 탑재될 때 이상적인 NFC 서비스가 제공되며 NFC 애플리케이션은 다른 애플리케이션이 민감한 데이터에 추가적으로 ECMA에서는 NFC 기기에서 보안 서비 스를 제공하기 위한 암호학적 함수들을 <표 1>과 같이 정의하였다. 접근하기 어렵게 환경을 구성해야 함을 강조했다. 또한 외부 장비와 데이터 교환 시 데이터에 대한 무결성, 기 밀성, 부인방지 기능 제공되어야 함을 제시하였다. 이에 대한 세부적인 사항은 다음과 같다. 5) 타원 곡선 상에서 이루어지는 공개키 기반의 키교환 방식 6) 금융권 암호기술 관리가이드, 금융보안연구원, 2010 참조 7) Mobile NFC Technical Guidelines, GSMA, 2007 참조 056 07/08 2011

S p e c i a l R e p o r t 4 Sender A Recipient B Generate NA Compute Shared Secret Z Compute MK= KDF(NA, NB, ID A, ID B, z) Compute MacTag A = f(mk, ID A, ID B, QA, QB) QA l l NA QB l l NB MacTag A Generate NB Compute Shared Secret z Compute MK= KDF(NA, NB, ID A, ID B, z) MacTag B Check MacTag A Compute MacTagB= f(mk, ID B, ID A, QB, QA) Check MacTag B For SSE, set Sharedsecret=MK For SSE, set Sharedsecret=MK [그림 6] ECMA-386 모바일 NFC 기기의 안전한 디스플레이를 위해 키보 드와 같이 민감한 사용자 데이터가 다루어지는 디스 플레이는 검증 과정 필요 현재 인터페이스 관련 소프트웨어는 보안요소가 탑 재된 칩 내에 저장되기보다 핸드 셋에 저장되어 사용 하고 있으므로 인증된 애플리케이션만이 칩에 접근 가능하도록 인터페이스에 대한 인증 필요 모바일 NFC 기기의 분실 등과 같이 기기 차원의 위 협을 방지하기 위해 OTA를 이용한 애플리케이션 관 리(활성화/정지/삭제/갱신) 및 암호알고리즘 갱신 등 이 필요 애플리케이션은 서비스 제공자에 의해 정해진 코딩 규칙과 표준 준수가 필요하므로 서비스 제공자나 제3 기관에 의해 승인이 요구 이외에 신뢰된 AP 사용, AP 접근통제, 암호화 등을 통해 무선 통신의 안전성 확보와 부채널 공격에 안전할 수 있도록 암호알고리즘 구현 방식을 검증하는 과정이 요구된다. 5. 맺음말 지금까지 모바일 NFC 서비스에서 고려해야 할 일반 적인 보안 동향에 대해 살펴보았다. 우선 기기 간 RF통 신 구간에서 도청과 변조 위협으로부터 정보 유출을 방지하기 위해 보안 채널을 형성해야 하며 이와 관련된 보안 표준들이 지속적으로 제시되고 있다. 따라서 보안 표준 및 기술이 국내 서비스 환경과 특성에 적합하게 적용될 수 있도록 사전에 관련 연구가 이루어져야 하며 원활한 서비스가 진행될 수 있도록 체계적으로 인프라 를 구축해야 할 것이다. 또한 비즈니스 측면에서의 서비 스 모델이 아직 일원화되지 않아 모델에 따라 보안수준 이 상이하게 전개될 수 있다. 따라서 애플리케이션부터 무선통신까지 각 구간별로 발생 가능한 보안위협을 다 양한 비즈니스 모델에 따라 분석이 이루어져야 하며 이 를 통해 보안적 관점에서 적절한 서비스 구조를 형성해 야 할 것이다. TTA Journal Vol.136 057