금융보안원(원장 박상원)은 7일 NFC 결제 정보를 탈취해 부정결제와 무단 출금에 악용하는 새로운 사이버 위협이 확산되고 있다고 밝히며 금융회사와 금융소비자의 각별한 주의를 당부했다.

NFC(Near Field Communication) 결제는 스마트폰 등에서 무선 근거리 통신 기술을 활용해 결제 단말기에 카드 결제 정보를 전송해 결제하는 방식이다. 기존 부정결제 사기는 카드번호, 인증코드 등 실물 카드 정보를 악용했는데, 신종 결제 사기는 스마트폰의 NFC 결제 기능 활성화로 생성되는 결제 정보를 실시간으로 가로채 부정결제에 악용하는 것이다.

특히 신종 NFC 부정결제 사기는 피싱 공격과 결합할 경우 국내 금융소비자의 금전적 피해로 이어질 수 있으며, 애플페이 도입 등으로 NFC 결제가 점점 확대되고 있어 선제적인 대응이 필요하다고 금보원은 밝혔다.

금융보안원은 최근 해외에서 국내 금융회사 고객 정보를 이용한 NFC 부정결제 등 다수의 해외 피해 사례를 분석하고, 관련 위협정보(악성앱·유포지 정보 등)를 금융회사와 공유했다.

최근 해외에서 발생한 NFC 부정출금 피해 사례는 다음과 같다. 직장인 A씨는 세금 환급 안내 SMS를 수신했다. A씨는 SMS로 받은 인터넷 주소(URL)를 클릭한 뒤 환급금 신청 화면에서 은행 계좌번호와 계정정보 등을 입력했다. 얼마 후 A씨는 은행 직원 사칭범으로부터 과거 환급금 수령 과정에서 입력했던 정보로 인해 은행 계좌가 해킹됐다는 전화를 받았다. 사칭범은 피해 방지를 위해 PIN 번호 변경과 카드 인증이 필요하다며 악성앱 설치 URL을 피해자에게 전송했다. A씨는 전달받은 URL을 클릭하여 은행 사칭 악성앱을 설치했다.

A씨는 설치한 악성앱 안내에 따라 PIN 번호를 변경하고 스마트폰 NFC 기능을 활성화한 후, 카드를 스마트폰 뒷면에 접촉해 카드 인증을 했다. 악성앱은 NFC 기능으로 생성한 결제 정보와 PIN 번호를 공격자에게 실시간으로 전송하고, 공격자는 이 정보를 악용해 스마트폰에서 NFC 결제가 가능하도록 변환한 후 부정출금을 진행했다.

국내의 경우 NFC 결제 시 추가 인증(생체인증, PIN 번호 등)을 적용하고 있어 해외에 비해 상대적으로 안전하나, 악성앱이 탈취한 비밀번호 등을 추가 인증에 사용하는 경우 피해 발생이 가능 하다고 금보원은 밝혔다.

금보원은 "금융회사는 NFC 결제 관련 이상거래를 신속하고 정밀하게 탐지할 수 있도록 이상거래탐지(FDS) 모니터링을 강화하고, 금융소비자는 출처가 불분명한 링크가 포함된 SMS와 금융회사를 사칭한 보이스피싱에 유의해야 하며, 특히 스마트폰과 신용카드의 물리적 접촉을 유도하는 등 비정상적인 인증 요청은 거부해야 한다"고 조언했다.

금융보안원 박상원 원장은 “최근 NFC 결제 이용이 확산되는 국내 금융 환경을 고려할 때, 지능적·정교화되고 있는 NFC 부정결제 위협에 금융회사와 금융소비자 모두 각별히 주의해야 한다”면서 “금융보안원은 앞으로도 끊임없이 변화하는 사이버 위협을 면밀히 모니터링하고 분석함으로써 안전한 디지털 금융 환경을 조성하는 데에 힘쓰겠다”고 밝혔다.