상하이방

이번 호에서는 최근 이슈가 되고 있는 공유자전거 해킹(온라인 관련 해킹)과 2건의 오프라인 해킹에 대해 긴급히 현황을 파악하고 대응방안에 대해 말씀 드리겠습니다. 공유자전거 해킹을 보면서 편리한 수단이 나오면, 늘 해킹이 따라오는 것은 기술발달에 따른 숙명적인 결과라는 생각이 듭니다.

공유자전거 해킹

모바이크(Mobike)를 중심으로 한 공유자전거를 많은 분들이 이용하고 계실 겁니다. 이 공유자전거를 타려면 이러한 과정, 즉 Process를 거치게 됩니다.

1) 관련 앱을 다운로드 받고, 앱을 핸드폰에 설치합니다.

2) 보증금(押金)을 냅니다.

3) 보증금을 낸 후 앱 사용승인이 떨어지면 이용을 시작합니다.

4) 보증금과 별도로 사용금액을 충전합니다.

5) 핸드폰을 이용하여 공유 자전거의 바코드를 스캔합니다.

6) 잠금이 열리면 자전거를 이용하고, 사용 완료하면 장치를 잠금합니다.

7) 사용금액이 충전액에서 차감되고 완료됩니다. 공유자전거를 이용하고 종료하는데 있어서 이 Process가 한 사이클로 일어나게 됩니다.

해커는 공유자전거의 이 Process를 분석하고 허점을 파고들어 덫을 놓습니다. 5번과 6번 사이에서 해킹이 일어나도록 설계합니다. 핸드폰을 이용해서 부착된 바코드를 스캔하는데, 이 바코드를 위조하는 것입니다. <사진 1 참조)

사진 1

이 위조된 바코드를 스캔하게 되면 공유자전거 앱과 똑같이 변조된 앱으로 이동하여 결제를 요청받게 됩니다. 이때 승인을 누르게 되면 핸드폰이 해킹이 되어 결제가 되는 것입니다. 참으로 당혹스러운 일이 발행하는 것이지요. 그러면 어떻게 하면 이것을 막을 수 있을까요? 바코드 위조여부를 일일이 파악할 수는 없습니다만, 본인이 충전되어있는 액수는 늘 확인해서 알 수 있습니다. 금액이 충전되어 있는데, 또 충전하라고 하면 그때는 즉시 해킹을 의심하십시오. 돈이 충전되어 있는 상태에서는 사용금액이 차감이 되지, 재충전을 요구하지 않기 때문입니다.

2건의 오프라인 해킹

<사진 2>를 참조해 주시기 바랍니다. ETC를 통과하는 하이패스의 돈을 빼내가는 해킹입니다. 그림 2에서 공안이 시범을 보여주고 있는데, 해커들이 직접 단말기를 들고 다니면서 인적이 드문 시간을 이용하여 결제를 하는 방식입니다. 이런 것은 온라인이 아니라 오프라인에서 벌어지는 해킹입니다. 이 오프라인 해킹을 방지하기 위해서는 물리적인 방법을 이용할 수 밖에 없습니다. 차량 안에 가림막이나 차단막을 이용하여 허가받지 않은 결제시도를 방지해야 합니다.

사진 2 

다음은 <그림 3>을 참조해 주시기 바랍니다. 주차를 하고 나니 거짓 주차관리원이 와서 주차비를 청구합니다. 요즘은 카드결제기를 가지고 오는 경우도 있다고 합니다. 주차관리원의 복장을 하고 있어 속수무책으로 당한다고 합니다. 이런 오프라인 해킹이 만연해서 중국 정부에서는 주차관리원의 신분을 확인할 수 있는 앱을 제공하고 있습니다. 위챗에 城市服务 → 停车场停车에서 주차관리원의 신분을 번호로 확인할 수 있으니 의심이 생기면 바로 확인 하십시오.

그림 3 

이상의 사례를 잘 참고하셔서 피해를 입는 교민들이 발생되지 않기를 바랍니다.