Skip to main content
QUICK REVIEW

[논문 리뷰] Chip and Skim: cloning EMV cards with the pre-play attack

Mike Bond, Omar Choudary|arXiv (Cornell University)|2012. 09. 12.
User Authentication and Security Systems참고 문헌 9인용 수 4
한 줄 요약

이 논문은 EMV(칩 및 핀) 결제 시스템의 심각한 취약성을 드러내며, 은행권이 카드를 복제할 수 없도록 보장한다고 주장하는 프로토콜와는 달리, 현금 인출기(ATM) 및 결제 단말기에서 잘못된 난수 생성으로 인해 공격자가 물리적 접근 없이도 카드를 복제할 수 있는 '재생 공격(pre-play attack)'을 가능하게 한다. 이 공격은 거래의 신선도를 보장하기 위해 사용되는 '예측 불가능한 수치'(unpredictable numbers)가 예측 가능해지면서 발생하며, 사전에 유효한 인증 코드를 계산해 내어 탐지되지 않는 사기 행위를 가능하게 한다. 이로 인해 은행은 고객의 실수나 공모로 인한 사기로 잘못 판단한다.

ABSTRACT

EMV also known as “Chip and PIN”, is the leading system for card payments worldwide. It is used throughout Europe and much of Asia, and is starting to be introduced in North America too. Payment cards contain a chip so they can execute an authentication protocol. This protocol requires point-of-sale (POS) terminals or ATMs to generate a nonce, called the unpredictable number, for each transaction to ensure it is fresh. We have discovered two serious problems: a widespread implementation flaw and a deeper, more difficult to fix flaw with the EMV protocol itself. The first flaw is that some EMV implementers have merely used counters, timestamps or home-grown algorithms to supply this nonce. This exposes them to a “pre-play” attack which is indistinguishable from card cloning from the standpoint of the logs available to the card-issuing bank, and can be carried out even if it is impossible to clone a card physically. Card cloning is the very type of fraud that EMV was supposed to prevent. We describe how we detected the vulnerability, a survey methodology we developed to chart the scope of the weakness, evidence from ATM and terminal experiments in the field, and our implementation of proof-of-concept attacks. We found flaws in widely-used ATMs from the largest manufacturers. We can now explain at least some of the increasing number of frauds in which victims are refused refunds by banks which claim that EMV cards cannot be cloned and that a customer involved in a dispute must therefore be mistaken or complicit. The second problem was exposed by the above work. Independent of the random number quality, there is a protocol failure: the actual random number generated by the terminal can simply be replaced by one the attacker used earlier when capturing an authentication code from the card. This variant of the pre-play attack may be carried out by malware in an ATM or POS terminal, or by a man-in-the-middle between the terminal and the acquirer. We explore the design and implementation mistakes that enabled these flaws to evade detection until now: shortcomings of the EMV specification, of the EMV kernel certification process, of implementation testing, formal analysis, and monitoring customer complaints. Finally we discuss countermeasures. More than a year after our initial responsible disclosure of these flaws to the banks, action has only been taken to mitigate the first of them, while we have seen a likely case of the second in the wild, and the spread of ATM and POS malware is making it ever more of a threat.

연구 동기 및 목표

  • 프로토콜가 카드 복제 불가능성을 주장하고 있음에도 불구하고, EMV 카드 사기 사례가 감지되지 않는 이유를 조사하기 위해.
  • EMV 단말기에서 예측 가능한 '예측 불가능한 수치'가 재생 공격을 가능하게 하여 카드 복제를 모방할 수 있는 방식을 폭 드러내기 위해.
  • 광범위하게 배포된 ATM 및 POS 단말기에서 잘못된 난수 생성이 전체 EMV 보안 모델을 약화시킨다는 것을 입증하기 위해.
  • 소비자를 보호하고 업계 관행을 바로잡기 위해 책임 소재, 증거 보존 및 규제 감독의 체계적 개선을 주장하기 위해.

제안 방법

  • 거래 로그를 ATM 및 POS 단말기에서 수집하여 '예측 불가능한 수치'(UN) 필드의 패턴을 분석하기 위해.
  • 현장의 실제 ATM에서 UN 시퀀스를 수확하기 위해 데이터 캡처 카드를 개발하기 위해.
  • eBay를 통해 중고로 구매한 ATM을 대상으로 현장 실험을 수행하여 난수 생성 품질을 테스트하기 위해.
  • EMV 단말기 구현체를 역공학하고 암호 분석을 수행하여 예측 가능한 UN 생성 패턴을 식별하기 위해.
  • 미래의 UN 값 예측 및 거래 인증 코드 위조를 통해 재생 공격 시뮬레이션을 수행하기 위해.
  • 카드 체계, 은행 및 공급업체에 책임감 있는 공개를 수행하며, 반응과 업계의 저항을 문서화하기 위해.

실험 결과

연구 질문

  • RQ1왜 프로토콜가 카드 복제 불가능성을 주장하고 있음에도 불구하고 은행들은 EMV 카드 사기 사례를 거부하는가?
  • RQ2왜 EMV 단말기에서 예측 가능한 '예측 불가능한 수치'가 탐지되지 않는 재생 공격을 가능하게 하는가?
  • RQ3왜 수년간 지속된 이 취약성이 EMV 사양, 인증 및 구현 테스트에서 체계적인 결함이 있었는가?
  • RQ4왜 은행들은 거래 로그를 일반적으로 90~180일 이내에 파기하며, 이로 인해 분쟁 해결과 소비자 보호가 약화되는가?
  • RQ5암호화된 지불 시스템에서 향후 대규모 사기를 방지하기 위해 필요한 거버넌스 및 기술 개혁은 무엇인가?

주요 결과

  • 많은 ATM 및 POS 단말기에서 '예측 불가능한 수치'(UN)는 단순한 카운터나 타임스탬프를 사용해 생성되며, 이는 예측 가능하고 재생 공격에 취약하다.
  • 현장 실험 결과, 주요 제조사에서 생산한 널리 사용되는 ATM에서 UN 값은 예측 가능한 카운터 유형의 패턴을 보이며, 3분마다 순환한다.
  • 설명적 공격 사례는 공격자가 일시적인 카드 접근 권한을 확보한 경우, 향후 거래에 대한 유효한 인증 코드를 사전에 계산할 수 있음을 입증한다.
  • 이 취약성은 물리적 복제에 국한되지 않으며, 중간자 공격이나 단말기 내 악성 소프트웨어를 통해 조차도 작동할 수 있다. 이는 EMV 커널이 변조 방지 기능이 있더라도 마찬가지다.
  • 많은 은행들이 거래 로그를 90~180일 이내에 파기하여 분쟁 해결을 약화시키며, 사기 증거가 있음에도 불구하고 책임을 회피할 수 있도록 한다.
  • 업계의 반응은 대부분 무시하거나 협조하지 않으며, 대부분의 조직이 공식적인 인터뷰를 거부하여 알려진 취약성을 억압하는 체계적 경향이 드러났다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.