맨위로가기

EMV

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.
목차

1. 개요

EMV는 Europay, Mastercard, Visa 3사에 의해 개발된 스마트 카드 기반의 결제 기술 표준이다. 1960년대 후반 칩을 플라스틱 카드에 통합하는 아이디어에서 시작되어, 1990년대 중반에 EMV 2.0으로 처음 표준화되었다. EMV 칩 카드는 마그네틱 띠 카드보다 보안성이 뛰어나며, 칩&PIN 또는 칩&서명 방식을 사용한다. EMVCo 컨소시엄에서 관리하며, Visa, Mastercard, JCB, 아메리칸 익스프레스, 중국 은련, Discover 등이 참여한다. EMV 기술은 보안 취약점과 관련된 비판을 받아왔으며, 대한민국은 2015년 EMV 전환을 완료했다.

더 읽어볼만한 페이지

  • EMV - 비접촉 결제
    비접촉 결제는 EMV 칩, 토큰화, NFC 등의 무선 통신 기술을 사용하여 물리적 접촉 없이 결제하는 방식으로, 신용카드, 스마트폰 등 다양한 기기로 사용 가능하며, 코로나19 팬데믹 이후 안전하고 편리한 결제 수단으로 확산되고 있다.
  • 브랜드에 관한 - HDC현대산업개발
    HDC현대산업개발은 1976년 현대그룹의 자회사로 설립되어 주택, 토목, 플랜트 등 다양한 사업을 영위하며, 2001년 IPARK 아파트 브랜드를 론칭하고 HDC그룹의 모회사로 성장했으나, 2021년과 2022년 건물 붕괴 사고로 사회적 비판을 받았다.
  • 브랜드에 관한 - 마쓰다
    마쓰다는 1920년 동양코르크공업으로 설립되어 3륜 트럭 생산을 시작, 로터리 엔진 기술을 통해 독자적인 입지를 구축했으며, 스카이액티브 기술과 디자인 철학을 바탕으로 기술 혁신을 지속하고 있는 일본의 자동차 제조 회사이다.
EMV
개요
종류스마트 결제 카드 표준
개발유로페이, 마스터카드, 비자
최초 개발1994년
발표1996년
이전 명칭Europay MasterCard Visa
기술적 세부 사항
기반ISO/IEC 7816
사용 기술집적 회로 카드
PIN (개인 식별 번호)
근거리 무선 통신 (NFC)
활용
용도신용 카드
직불 카드
선불 카드
보안 기능복제 방지
위조 방지
특징
장점향상된 보안
오프라인 거래 지원
다양한 추가 기능
단점높은 초기 도입 비용
기존 시스템과의 호환성 문제
관련 표준
국제 표준ISO/IEC 14443
EMVCo산업 컨소시엄

2. 역사

EMV 표준은 1990년대 중반 유로페이, 마스터카드, 비자 3사에 의해 처음 개발되었다. 초기에는 마그네틱 띠 카드의 보안 취약점을 보완하고, 오프라인 거래 승인 기능을 제공하는 데 초점을 맞췄다.[14] 1959년 실리콘 집적 회로 칩의 발명은 1960년대 후반 독일 엔지니어 헬무트 그뢰트루프와 위르겐 데트롭에 의해 플라스틱 스마트 카드에 통합하는 아이디어로 이어졌다.[2] 초창기 스마트 카드는 1970년대에 통화 카드로 도입되었으며, 이후 결제 카드로 사용하도록 개조되었다.[3][4]

스마트 결제 카드에 대한 최초의 표준은 1986년 프랑스에서 배포된 Bull-CP8의 Carte Bancaire B0M4였으며, 1989년에 배포된 B4B0'(M4와 호환)가 뒤를 이었다. 독일의 Geldkarte도 EMV보다 먼저 나왔다. EMV는 카드와 단말기가 이러한 표준과 하위 호환되도록 설계되었다.

1995년 최초의 EMV 표준인 EMV 2.0이 등장했다. 이후 1996년 EMV 3.0 (EMV '96), 1998년 EMV 3.1.1, 2000년 12월 EMV 4.0 (EMV 2000)으로 개정되었다. EMV 4.0은 2004년 6월, 4.1은 2007년 6월, 4.2는 2008년 6월, 4.3은 2011년 11월부터 유효하다.

접점 패드 반대편에 있는 EMV 칩 반도체 패키지


칩의 모습, 다이샷


현재 EMV 표준은 EMVCo라는 컨소시엄에서 관리하며, 비자, 마스터카드, JCB, 아메리칸 익스프레스, 중국 은련, Discover 등이 참여하고 있다.[6] EMV 칩 카드 거래는 소지자의 서명과 홀로그램과 같은 기능을 확인하기 위한 카드 육안 검사에 의존하는 마그네틱 스트라이프 카드 거래에 비해 사기에 대한 보안을 향상시킨다.[14]

비자와 마스터카드는 전화 및 인터넷을 통한 비대면 결제 (CNP)를 지원하기 위해 기기에서 EMV 카드를 사용하는 표준을 개발했다. 마스터카드는 안전한 전자 상거래를 위한 칩 인증 프로그램 (CAP)을 가지고 있으며, 그 구현을 EMV-CAP라고 한다. 비자는 CAP을 다른 기본값을 사용하여 구현한 동적 패스코드 인증 (DPA) 방식을 가지고 있다.

2. 1. 한국 EMV 도입

대한민국에서는 2000년대 초반부터 EMV 도입 논의가 시작되었다. 2003년 금융감독원은 신용카드 부정사용 방지 종합대책의 하나로 EMV 도입을 추진하였다. 2015년을 기준으로 대한민국을 포함한 대만, 홍콩, 태국, 싱가포르, 인도네시아 등 일부 아시아 국가와 미국, 멕시코, 아르헨티나, 페루 등 남아메리카 일부 지역에서는 칩 앤 서명(Chip and signature) 방식의 카드가 더 많이 사용되었다.[17]

3. 특징 및 장점

EMV 칩 카드는 기존 마그네틱 띠 카드에 비해 보안성이 뛰어나다. Triple DES, RSA, SHA 등 PIN 및 암호화 알고리즘을 사용하여 카드 처리 단말기와 카드 발급자의 호스트 시스템에 대한 카드 인증을 제공한다.[14] 이러한 보안 강화로 은행 및 신용 카드 발급 기관은 EMV를 지원하지 않는 시스템의 거래로 인해 발생하는 모든 사기에 대해 가맹점이 책임을 지도록 하는 "책임 전가"를 시행하고 있다.[84][12][13]

EMV는 신용 카드, 직불 카드, 전자 지갑 등 여러 애플리케이션을 하나의 카드에 탑재할 수 있도록 설계되었다.[11]

EMV 기술은 카드 복제 위험을 줄여 판매 시점에서의 범죄를 줄이는 데 도움이 되었지만, 사기 거래는 전화, 인터넷, 우편 주문 등 카드 미소지 거래 (CNP)로 옮겨갔다.[19] 이러한 CNP 거래를 해결하기 위해 다음과 같은 대안들이 고안되었다.


  • 온라인 거래를 위한 소프트웨어 방식 (예: Visa의 3-D 시큐어 프로토콜 구현인 Verified by Visa, Mastercard SecureCode)
  • 주어진 최대 금액으로 물리적 카드에 연결된 일회용 가상 카드 생성
  • 일회용 비밀번호를 생성할 수 있는 키패드와 화면이 있는 추가 하드웨어 (예: 칩 인증 프로그램)
  • 일회용 비밀번호를 생성하기 위해 복잡한 카드에 통합된 키패드와 화면 (예: 비자의 Emue 카드)[21]

3. 1. 칩 및 PIN vs 칩 및 서명

EMV 카드는 칩 및 PIN 방식과 칩 및 서명 방식 두 가지를 지원한다.[15] 칩 및 PIN 방식은 사용자가 4~6자리의 개인 식별 번호(PIN)를 입력하여 본인 확인을 하는 방식으로, 카드를 훔쳐도 PIN을 모르면 사용할 수 없으므로 보안성이 높다. 반면, 칩 및 서명 방식은 서명을 통해 소비자의 신원을 확인한다.[16]

2015년을 기준으로 칩 및 서명 카드는 미국, 멕시코, 남아메리카 일부(아르헨티나, 페루 등), 일부 아시아 국가(대만, 홍콩, 태국, 대한민국, 싱가포르, 인도네시아 등)에서 더 많이 사용되었다.[17][18] 칩 및 PIN 카드는 대부분의 유럽 국가(영국, 아일랜드, 프랑스, 포르투갈, 핀란드, 네덜란드 등)뿐만 아니라 파키스탄, 이란, 브라질, 콜롬비아, 베네수엘라, 인도, 스리랑카, 캐나다, 호주, 뉴질랜드에서 더 많이 사용되었다.[17][18]

4. 거래 절차

EMV 거래는 다음과 같은 단계를 거친다.[23]

1. 애플리케이션 선택

2. 애플리케이션 처리 시작

3. 애플리케이션 데이터 읽기

4. 처리 제한

5. 오프라인 데이터 인증

6. 인증서

7. 카드 소유자 확인

8. 단말기 위험 관리

9. 단말기 액션 분석

10. 첫 번째 카드 액션 분석

11. 온라인 거래 승인 (이전 단계의 결과에 따라 필요할 경우에만 수행되며, ATM에서는 필수이다.)

12. 두 번째 카드 액션 분석

13. 발급사 스크립트 처리

단말기는 카드에 ''처리 옵션 획득'' 명령을 보내면서 ''처리 옵션 데이터 객체 목록''(PDOL)을 제공한다. PDOL은 애플리케이션 선택 중에 카드에서 단말기로 제공될 수 있다. 카드는 ''애플리케이션 상호 작용 프로필''(AIP)과 ''애플리케이션 파일 로케이터''(AFL)로 응답한다.

IC 카드는 파일에 데이터를 저장하며, AFL은 EMV 데이터가 포함된 파일을 포함한다. 이 파일의 데이터는 BER TLV 형식으로 저장된다. EMV는 카드 처리에 사용되는 모든 데이터에 대한 태그 값을 정의한다.[26]

''처리 제한'' 단계에서는 카드를 사용해야 하는지 확인하기 위해 애플리케이션 버전 번호, 애플리케이션 사용 제어, 애플리케이션 유효/만료일을 검사한다. 검사 결과 중 하나라도 실패하면 단말기는 단말기 검증 결과(TVR)에 해당 비트를 설정한다.

카드 소지자 인증은 카드를 제시한 사람이 적법한 카드 소지자인지 평가하는 데 사용된다. EMV에서 지원되는 카드 소지자 인증 방법(CVM)은 다음과 같다.


  • 서명
  • 오프라인 평문 PIN
  • 오프라인 암호화 PIN
  • 오프라인 평문 PIN 및 서명
  • 오프라인 암호화 PIN 및 서명
  • 온라인 PIN
  • CVM 불필요
  • 소비자 장치 CVM
  • CVM 처리 실패


터미널은 카드에서 읽은 CVM 목록을 사용하여 수행할 인증 유형을 결정한다. 오프라인 암호화 PIN의 경우, 터미널은 확인 명령을 보내기 전에 카드의 공개 키로 평문 PIN 블록을 암호화한다. 온라인 PIN의 경우, 평문 PIN 블록은 승인 요청 메시지를 보내기 전에 터미널에서 지점 간 암호화 키를 사용하여 암호화된다.

모든 오프라인 방법은 중간자 공격에 취약하다. 2017년, EMVCo는 EMV 사양 버전 4.3에서 생체 인증 방식에 대한 지원을 추가했다.[29]

단말 위험 관리는 거래가 온라인 또는 오프라인으로 승인되어야 하는지 결정하는 장치에서만 수행된다. 거래가 항상 온라인(예: ATM) 또는 오프라인으로 수행되는 경우 이 단계를 건너뛸 수 있다.

이전 처리 단계의 결과는 거래가 오프라인 승인, 온라인 전송, 오프라인 거부 중 어떤 방식으로 처리되어야 하는지 결정하는 데 사용된다. 이는 단말기에 저장된 ''단말기 액션 코드''(TAC)와 카드에서 읽은 ''발급사 액션 코드''(IAC)를 논리 OR하여 수행된다.

온라인 전용 장치는 IAC-온라인 및 TAC-온라인 처리 시 "거래 금액이 하한선을 초과했습니다"라는 TVR 비트만 관련된다. 온라인 전용 장치는 IAC-기본 처리를 수행할 필요가 없다. ATM과 같은 온라인 전용 장치는 IAC-거부 설정으로 인해 오프라인으로 거부되지 않는 한 항상 승인 요청을 위해 온라인으로 접속을 시도한다.

애플리케이션 데이터 읽기 단계에서 읽은 CDOL1(카드 데이터 객체 목록)을 기반으로, 터미널은 애플리케이션 암호화 생성 명령을 사용하여 다음 암호화 중 하나를 요청한다.

  • 거래 증명서(TC)—오프라인 승인
  • 승인 요청 암호화(ARQC)—온라인 승인
  • 애플리케이션 인증 암호화(AAC)—오프라인 거부


이 단계에서 카드는 터미널의 액션 분석을 수용, 거래 거부, 거래 온라인 강제 중 하나를 선택할 수 있다. 카드는 ARQC가 요청된 경우 TC를 반환할 수 없지만, TC가 요청된 경우 ARQC를 반환할 수 있다.[32]

거래는 ARQC가 요청될 때 온라인으로 진행되며, ARQC는 승인 메시지에 포함되어 전송된다. 카드 애플리케이션이 생성한 ARQC는 거래 세부 정보의 디지털 서명으로, 카드 발급자가 실시간으로 확인할 수 있다. 발급자는 승인 요청에 응답 코드, 승인 응답 암호(ARPC), 선택적인 발급자 스크립트로 응답한다.[32]

ARPC 처리는 EMV용 비자 퀵 칩[33] 및 마스터카드 M/Chip Fast[34]로 처리되는 접촉식 거래와 비접촉식 스마트 카드 거래에서는 수행되지 않는다.

CDOL2(카드 데이터 객체 목록)에는 온라인 거래 승인 후 카드에서 보내기를 원하는 태그 목록이 포함되어 있다. 터미널은 생성 승인 암호 명령을 사용하여 이 데이터를 카드에 다시 전송하여 카드가 발행자의 응답을 알 수 있도록 한다.

카드 발급 후 카드를 업데이트하려는 경우, 발급자 스크립트 처리를 통해 카드에 명령을 보낼 수 있다. 발급자 스크립트는 단말기에는 의미가 없으며, 카드와 발급자 간에 암호화될 수 있다. 발급자 스크립트는 카드를 차단하거나 카드 매개변수를 변경하는 데 사용될 수 있다.[35]

발급자 스크립트 처리는 EMV의 Visa Quick Chip[33] 및 Mastercard M/Chip Fast[34]로 처리되는 접촉식 거래와 비접촉식 거래에는 사용할 수 없다.

5. 애플리케이션

EMV 카드는 다양한 애플리케이션을 지원하며, 각 애플리케이션은 AID(애플리케이션 식별자)로 구분된다. AID는 RID(등록 애플리케이션 제공자 식별자)와 PIX(고유 애플리케이션 식별자 확장)로 구성된다.

카드 발행사는 카드 네트워크의 이름에서 애플리케이션 이름을 변경할 수 있다.
주요 카드 스킴/결제망 별 애플리케이션:

카드 스킴 / 결제망RID제품PIXAID
Danmønt (덴마크)A000000001현금 카드1010A0000000011010
Visa (미국)A000000003Visa 신용 또는 직불1010A0000000031010
Visa Electron2010A0000000032010
V Pay2020A0000000032020
Plus8010A0000000038010
Mastercard (미국)A000000004Mastercard 신용 또는 직불1010A0000000041010
마스터카드[100]9999A0000000049999
Maestro3060A0000000043060
Cirrus ATM 카드 전용6000A0000000046000
칩 인증 프로그램 Securecode8002A0000000048002
마스터카드A000000005Maestro UK
(구 Switch)		0001A0000000050001
A000000010Mastercard (중국, 직불 및 신용 카드)8888A0000000108888
American Express (미국)A000000025아메리칸 익스프레스01A00000002501
A000000790AMEX CHINA (직불 및 신용 카드)01A00000079001
U.S. Debit (모든 은행 간 네트워크) (미국)A000000098Visa 브랜드 카드0840A0000000980840
A000000004Mastercard 브랜드 카드2203A0000000042203
A000000152Discover 브랜드 카드4010A0000001524010
Menards 신용 카드 (매장 카드) (미국)A000000817매장 카드002001A000000817002001
LINK ATM 네트워크 (영국)A000000029ATM 카드1010A0000000291010
CB (프랑스)A000000042CB (신용 또는 직불 카드)1010A0000000421010
CB (직불 카드 전용)2010A0000000422010
JCB (일본)A000000065JCB1010A0000000651010
Dankort (덴마크)A000000121Dankort1010A0000001211010
VisaDankort4711A0000001214711
Dankort (J/speedy)4712A0000001214712
Consorzio Bancomat (이탈리아)A000000141Bancomat/PagoBancomat0001A0000001410001
다이너스 클럽/Discover (미국)A000000152다이너스 클럽/Discover3010A0000001523010
Banrisul (브라질)A000000154Banricompras Debito4442A0000001544442
SPAN2 (사우디 아라비아)A000000228SPAN1010A0000002281010
Interac (캐나다)A000000277직불 카드1010A0000002771010
Discover (미국)A000000324ZIP1010A0000003241010
UnionPay (중국)A000000333직불010101A000000333010101
신용010102A000000333010102
준 신용010103A000000333010103
전자 현금010106A000000333010106
DK (독일)A000000359지로카드1010028001A0000003591010028001
EAPS Bancomat (이탈리아)A000000359PagoBancomat10100380A00000035910100380
Verve (나이지리아)A000000371Verve0001A0000003710001
The Exchange Network ATM 네트워크 (캐나다/미국)A000000439ATM 카드1010A0000004391010
RuPay (인도)A000000524RuPay1010A0000005241010
Dinube (스페인)A000000630Dinube 결제 시작 (PSD2)0101A0000006300101
MIR (러시아)A000000658MIR 직불2010A0000006582010
MIR 신용1010A0000006581010
에덴레드 (벨기에)A000000436Ticket Restaurant0100A0000004360100
eftpos (호주)A000000384저축 (직불 카드)10A00000038410
수표 (직불 카드)20A00000038420
GIM-UEMOAA000000337인출01 000001A000000337301000
표준01 000002A000000337101000
클래식01 000003A000000337102000
선불 온라인01 000004A000000337101001
선불 오프라인01 000005A000000337102001
Porte Monnaie Electronique01 000006A000000337601001
meeza (이집트)A000000732meeza 카드100123A000000732100123
Mercury (UAE)A000000529Mercury 카드1010A0000005291010


6. 보안 취약점

EMV 시스템은 여러 보안 취약점이 발견되었다. EMV 칩 카드 거래는 마그네틱 스트라이프 카드 거래에 비해 사기에 대한 보안을 향상시키지만, 완벽하지는 않다.

EMV 카드는 공개 키 암호 방식을 사용하여 카드를 검증하는 오프라인 데이터 인증을 수행한다. 여기에는 다음 세 가지가 있다.


  • 정적 데이터 인증(SDA): 카드에서 읽은 데이터가 카드 발급자에 의해 서명되었는지 확인한다. 데이터 수정은 방지하지만 복제는 방지하지 못한다.
  • 동적 데이터 인증(DDA): 데이터 수정 및 복제에 대한 보호 기능을 제공한다.
  • 결합된 DDA/응용 프로그램 암호 생성(CDA): 카드의 '응용 프로그램 암호' 생성을 DDA와 결합하여 카드 유효성을 보장한다.

6. 1. PIN 수집 및 마그네틱 띠 복제

IC 카드는 데이터를 파일에 저장하며, EMV 데이터는 레코드 읽기 명령으로 읽을 수 있는 파일에 BER TLV 형식으로 저장된다.[26] EMV 리더기가 손상되면 공격자는 2번 트랙 데이터와 PIN을 모두 복구하여 자기 띠 카드를 만들 수 있다. 이 카드는 칩앤핀 단말기에서는 사용할 수 없지만, 마그네틱 띠 처리를 허용하는 단말 장치에서는 사용할 수 있다.

이러한 공격은 다음의 경우에만 가능하다.

  • 오프라인 PIN이 PIN 입력 장치에서 카드에 평문으로 제시되는 경우
  • 카드 발급자가 자기 띠 폴백을 허용하는 경우
  • 카드 발급자가 지리적 및 행동적 확인을 수행하지 않는 경우


APACS는 프로토콜 변경(칩과 자기 띠 간에 다른 카드 확인 값 지정 – iCVV)으로 인해 2008년 1월부터 이러한 공격이 무력화되었다고 주장했다.[44] 그러나 2008년 2월의 카드 테스트에서 이것이 지연되었을 수 있음을 시사했다.[45]

2006년 5월 주유소에서 발생한 공격으로 1억파운드 이상이 도난당한 후 주유소에서 모든 EMV 인증을 비활성화해야 했다.[46] 2008년 10월에는 영국, 아일랜드, 네덜란드, 덴마크, 벨기에에서 사용될 예정이었던 수백 개의 EMV 카드 리더기가 중국에서 제조 중 또는 직후에 변조되어, 9개월 동안 신용 카드 및 직불 카드의 세부 정보와 PIN이 파키스탄 라호르의 범죄자들에게 전송되었다.[47] 훔친 데이터는 일반적으로 카드 거래 후 몇 달 후에 사용되어 수사관이 취약점을 파악하기 더 어렵게 만들었으며, 변조된 단말기는 추가 회로로 인해 무게가 약 100g 증가하여 식별할 수 있었다. 수천만 파운드가 도난당한 것으로 추정된다.[47]

2008년 2월 BBC의 ''뉴스나이트''에서 케임브리지 대학교의 연구원 스티븐 머독과 사르 드리머는 칩 앤 핀(Chip and PIN)이 은행에서 고객으로 사기 입증 책임을 이전할 만큼 안전하지 않다는 것을 보여주는 공격 사례를 시연했다.[49][50] APACS는 이 보고서에 동의하지 않으며, "이 보고서에 자세히 설명된 PIN 입력 장치에 대한 공격 유형은 수행하기 어렵고 현재 사기범이 수행하기에 경제적으로 실행 가능하지 않다"고 말했다.[51]

2016년 8월, NCR Corporation의 보안 연구원들은 신용 카드 도둑이 자기 띠의 코드를 재작성하여 칩이 없는 카드처럼 보이게 하여 위조를 가능하게 할 수 있음을 보여주었다.

6. 2. PIN 확인 비활성화

2010년 2월, 케임브리지 대학교의 스티븐 머독과 사르 드리머 연구팀은 훔친 카드에 대해 PIN 확인을 비활성화하는 공격을 시연했다. 이 공격은 중간자 공격을 통해 카드와 단말기 간 통신을 조작하여, 어떤 PIN을 입력해도 유효한 것으로 인식하도록 만든다.[52][53]

BBC의 ''뉴스나이트'' 프로그램 팀은 이 시스템을 가지고 케임브리지 대학교 구내식당에서 실험을 진행했다. 연구팀은 자체 카드를 사용해 결제를 시도했고, 회로에 연결된 가짜 카드를 삽입하고 "0000"을 PIN으로 입력하자 거래가 정상적으로 처리되었다. 연구팀은 "소규모 범죄 조직조차 우리가 가진 것보다 더 나은 장비를 가지고 있다. 이 공격을 수행하는 데 필요한 기술적 정교함은 매우 낮다."라고 말했다.[53]

EMVCo는 이러한 공격이 이론적으로는 가능하지만, 실제로는 수행하기 어렵고 비용이 많이 들 것이며, 기존의 보안 시스템으로도 사기를 감지하거나 제한할 수 있다고 반박했다.[54] 그러나 케임브리지 팀은 시중에서 판매되는 장비에 몇 가지 부품을 추가하여 쉽게 공격을 수행할 수 있으며, 더 작은 버전도 만들 수 있다고 주장했다.[53]

이 공격은 인증 방법 선택이 인증되지 않아 중간자 공격을 허용한다는 점을 이용한다. 카드는 카드 및 서명 거래를 수행한다고 생각하여 오프라인에서 성공할 수 있으며, 온라인에서도 충분한 검사가 이루어지지 않으면 작동할 수 있다.[56]

2009년 11월 1일부터 시행된 영국의 규정에 따라, 분쟁 발생 시 고객이 부주의했다는 것을 은행이 증명해야 한다.[57] 머독은 은행이 PIN을 사용하지 않았다고 주장하는 고객의 이전 거래를 다시 살펴보고, 이 유형의 사기 피해자일 가능성이 있는 고객에게 환불을 고려해야 한다고 말했다.[53]

6. 3. CVM 다운그레이드

2011년 3월, CanSecWest 컨퍼런스에서 안드레아 바리사니(Andrea Barisani)와 다니엘레 비앙코(Daniele Bianco)는 카드 소지자 인증 구성에도 불구하고, 지원되는 CVM 데이터가 서명되었을 때조차 임의의 PIN을 수집할 수 있는 EMV의 취약점을 밝히는 연구 결과를 발표했다.[58]

PIN 수집은 칩 스키머로 수행할 수 있다. CVM을 오프라인 PIN으로 다운그레이드하도록 수정된 CVM 목록은 서명이 유효하지 않더라도 POS 단말기에서 여전히 허용된다.[59]

6. 4. PIN 우회

2020년, 취리히 연방 공과대학교(ETH Zurich)의 연구원 데이비드 베이신, 랄프 사세, 호르헤 토로는 비자(Visa) 비접촉식 카드에 영향을 미치는 보안 문제를 보고했다.[60][61] EMV 거래 중 카드에서 단말기로 전송되는 중요한 데이터에 대한 암호화 보호가 부족하여, 거래에 사용될 카드 소지자 확인 방법(PIN 인증 등)을 결정하는 이 데이터를 수정하여 단말기가 PIN이 필요하지 않다고 믿도록 속일 수 있었다. 연구팀은 실제 비자 카드를 안드로이드 모바일 결제 앱(예: 애플 페이(Apple Pay), 구글 페이(Google Wallet|Google Pay))으로 전환하여 PIN 없이 고액 결제를 수행하는 개념 증명 앱을 개발했다. 이 공격은 NFC를 지원하는 스마트폰 두 대를 사용하여 수행되며, 한 대는 실제 카드 근처에, 다른 한 대는 결제 단말기 근처에 둔다. 이 공격은 디스커버 파이낸셜(Discover) 및 중국의 유니온페이 카드에도 영향을 미칠 수 있지만, 비자 카드와 달리 실제로 시연되지는 않았다.

2021년 초, 같은 연구팀은 마스터카드(Mastercard) 카드 또한 PIN 우회 공격에 취약하다고 밝혔다. 그들은 범죄자들이 단말기가 마스터카드 비접촉식 카드를 비자 카드로 인식하도록 속여 거래를 할 수 있음을 보여주었다. 이 ''카드 브랜드 혼합''은 비자 카드의 PIN 우회와 결합하여 마스터카드 카드에 대한 PIN도 우회하는 데 사용될 수 있기 때문에 심각한 결과를 초래한다.[61]

7. 대한민국 현황 및 전망

대한민국은 2015년 '신용카드 단말기 IC 전환 사업'을 통해 EMV 전환을 완료하였다.[29] EMV 도입으로 카드 복제 및 위변조 범죄가 크게 감소하였다. 금융 당국은 EMV 시스템의 보안 취약점을 지속적으로 보완하고, 새로운 결제 기술 도입을 추진하고 있다.

더불어민주당은 금융 소비자 보호 강화와 금융 시스템 안정성 확보를 위해 EMV 시스템 고도화 및 차세대 결제 기술 도입을 적극적으로 지원할 것으로 예상된다.

8. 비판

EMV 시스템은 완벽하지 않으며, 여러 보안 취약점이 존재한다. EMV 도입 비용이 높아, 특히 영세 가맹점에 부담이 될 수 있다. 또한 EMV 시스템은 복잡하고, 기술적인 문제로 인해 거래 실패가 발생할 수 있다.

8. 1. 김대중-노무현 정부 시기의 비판

이전 처리 단계의 결과는 거래가 오프라인으로 승인되어야 하는지, 승인을 위해 온라인으로 전송되어야 하는지, 아니면 오프라인으로 거부되어야 하는지를 결정하는 데 사용된다. 이는 단말기에 저장된 ''단말기 액션 코드''(TAC)와 카드에서 읽은 ''발급사 액션 코드''(IAC)로 알려진 데이터 객체를 조합하여 수행된다. TAC는 IAC와 논리 OR되어 거래 가맹점에게 거래 결과에 대한 통제 수준을 제공한다. 두 가지 유형의 액션 코드는 거부, 온라인 및 기본값을 사용한다. 각 액션 코드에는 단말기 검증 결과(TVR)의 비트에 해당하는 일련의 비트가 포함되어 있으며, 단말기에서 결제 거래를 수락, 거부 또는 온라인으로 진행할지 여부를 결정하는 데 사용된다. TAC는 카드 가맹점에 의해 설정된다. 실제로는 카드 체계에서 특정 단말기 유형의 기능에 따라 사용해야 하는 TAC 설정을 권장한다. IAC는 카드 발급자에 의해 설정된다. 일부 카드 발급자는 거부 IAC에서 적절한 비트를 설정하여 만료된 카드를 거부하기로 결정할 수 있다. 다른 발급자는 거래가 온라인으로 진행되기를 원하여 경우에 따라 이러한 거래가 수행되도록 허용할 수 있다.[31]

온라인 전용 장치가 IAC-온라인 및 TAC-온라인 처리를 수행할 때 관련된 유일한 TVR 비트는 "거래 금액이 하한선을 초과했습니다"이다. 하한선이 0으로 설정되어 있기 때문에 거래는 항상 온라인으로 진행되어야 하며 TAC-온라인 또는 IAC-온라인의 다른 모든 값은 관련이 없다. 온라인 전용 장치는 IAC-기본 처리를 수행할 필요가 없다. ATM과 같은 온라인 전용 장치는 IAC-거부 설정으로 인해 오프라인으로 거부되지 않는 한 항상 승인 요청을 위해 온라인으로 접속을 시도한다. IAC-거부 및 TAC-거부 처리 중 온라인 전용 장치의 경우 관련 있는 유일한 단말기 검증 결과 비트는 "서비스가 허용되지 않음"이다.[32]

참조

[1] 간행물 Important smart card industry standards. ISO 7816 https://www.cardwerk[...] Cardwerk Technologies
[2] 서적 Java Card Technology for Smart Cards: Architecture and Programmer's Guide https://archive.org/[...] Addison-Wesley Professional 2000
[3] 웹사이트 A short review of smart cards (2019 update) https://www.gemalto.[...] 2019-10-27
[4] 웹사이트 The Detailed History of Credit Card Machines https://www.mobiletr[...] 2019-10-27
[5] 서적 Nanometer CMOS ICs: From Basics to ASICs https://books.google[...] Springer 2017
[6] 웹사이트 EMVCo Members http://www.emvco.com[...] EMVCo 2015-05-10
[7] 웹사이트 Ways to Participate https://www.emvco.co[...] 2023-01-31
[8] 보도자료 China UnionPay joins EMVCo http://www.finextra.[...] Finextra Research 2015-05-10
[9] 웹사이트 Discover Joins EMVCo to Help Advance Global EMV Standards http://blog.discover[...] Discover Network News 2015-05-10
[10] 보도자료 "Top 7 Vendors in the Global EMV Cards Market from 2016 to 2020" https://www.business[...] Technavio 2016-08-24
[11] 웹사이트 Visa and MasterCard Support Common Solutions to Enable U.S. Chip Debit Routing https://newsroom.mas[...] Mastercard 2020-10-07
[12] 웹사이트 Shift of liability for fraudulent transactions http://www.chipandpi[...] The UK Cards Association 2015-05-10
[13] 웹사이트 Understanding the 2015 U.S. Fraud Liability Shifts http://www.emv-conne[...] EMV Migration Forum 2015-11-15
[14] 뉴스 Why You're Still Not Safe From Fraud If You Have a Credit Card With a Chip https://abcnews.go.c[...]
[15] 뉴스 Preparing for Chip-and-PIN Cards in the United States https://archive.nyti[...] 2022-07-31
[16] 뉴스 U.S. Bank and Chase Add to E.M.V. Chip Cards for Travelers https://archive.nyti[...] 2022-07-31
[17] 간행물 Chip-and-PIN vs. Chip-and-Signature http://www.ALREADYpa[...] CardHub.com (now wallethub) 2012-07-31
[18] 웹사이트 EMV Update: Discussion with the Federal Reserve https://www.federalr[...] Visa 2017-01-02
[19] 웹사이트 How To Reduce Chargebacks Without Killing Online Sales https://www.forbes.c[...] 2017-02-15
[20] 뉴스 BBC NEWS – Technology – Credit card code to combat fraud http://news.bbc.co.u[...]
[21] 뉴스 Visa tests cards with built-in PIN machine http://www.itpro.co.[...] 2008-11-11
[22] 뉴스 Why Apple Pay and Other Mobile Wallets Beat Chip Cards https://www.nytimes.[...] 2022-07-31
[23] 웹사이트 How EMV (Chip & PIN) Works – Transaction Flow Chart https://www.level2ke[...] Creditcall Ltd 2015-05-10
[24] 서적 Payments: from cowrie shells to bitcoins https://www.amazon.c[...] Independently published 2022-08-21
[25] 웹사이트 MasterCard Product & Services - Documentation http://www.paypass.c[...] 2017-04-17
[26] 웹사이트 A Guide to EMV Chip Technology https://www.emvco.co[...] EMVCo 2020-10-07
[27] 웹사이트 EMV CA https://emvca.com/in[...] EMV Certificate Authority Worldwide 2020-03-20
[28] 웹사이트 Book 2: Security and Key Management (PDF). 4.3. https://www.emvco.co[...] EMVCo. 29 November 2011. 2018-09-20
[29] 웹사이트 Contact Chip – General Frequently Asked Questions (FAQ) https://www.emvco.co[...] 2021-06-15
[30] 웹사이트 ContactlessSpecifications for Payment Systems https://www.emvco.co[...] EMVCo 2020-10-07
[31] 간행물 TAC Definition: Terminal Action Code https://www.abbrevia[...]
[32] 웹사이트 Visa technology partner: Terminal Action Code (VISA Minimum) https://technologypa[...]
[33] 웹사이트 Quick Chip https://usa.visa.com[...]
[34] 웹사이트 M/Chip Fast from MasterCard Speeds EMV Transactions and Shoppers Through Checkout https://newsroom.mas[...] 2020-11-30
[35] 웹사이트 Terms of Use https://www.emvco.co[...]
[36] 웹사이트 EMVCo Members https://www.emvco.co[...] 2020-08-01
[37] 웹사이트 Book 1: Application Independent ICC to Terminal Interface Requirements https://www.emvco.co[...] EMVCo 2011-11-30
[38] 웹사이트 Book 2: Security and Key Management https://www.emvco.co[...] EMVCo 2011-11-29
[39] 웹사이트 Book 3: Application Specification https://www.emvco.co[...] EMVCo 2011-11-28
[40] 웹사이트 Book 4: Cardholder, Attendant, and Acquirer Interface Requirements https://www.emvco.co[...] EMVCo 2011-11-27
[41] 웹사이트 SB CPA Specification v1 Plus Bulletins https://www.emvco.co[...] EMVCo 2008-03-01
[42] 웹사이트 EMV® Card Personalization Specification https://www.emvco.co[...] EMVCo 2007-07-01
[43] 웹사이트 Integrated Circuit Card Specifications for Payment Systems http://www.emvco.com[...] EMVCo 2012-03-26
[44] 웹사이트 How secure is Chip and PIN? http://news.bbc.co.u[...] BBC Newsnight 2008-02-26
[45] 웹사이트 PIN Entry Device (PED) vulnerabilities http://www.cl.cam.ac[...] University of Cambridge Computer Laboratory 2015-05-10
[46] 뉴스 Petrol firm suspends chip-and-pin http://news.bbc.co.u[...] 2006-05-06
[47] 뉴스 Organized crime tampers with European card swipe devices https://www.theregis[...] The Register 2008-10-10
[48] 웹사이트 Technical Working Groups, Secure POS Vendor Alliance http://www.spva.org/[...]
[49] 뉴스 Is Chip and Pin really secure? http://news.bbc.co.u[...] 2008-02-26
[50] 뉴스 Chip and pin https://www.bbc.co.u[...] 2007-02-06
[51] 뉴스 Paper clip attack skewers Chip and PIN http://www.channelre[...] The Channel 2008-02-27
[52] 웹사이트 EMV PIN verification "wedge" vulnerability http://www.cl.cam.ac[...] Computer Laboratory, University of Cambridge 2010-02-12
[53] 뉴스 New flaws in chip and pin system revealed https://www.bbc.co.u[...] 2010-02-11
[54] 웹사이트 Response from EMVCo to the Cambridge University Report on Chip and PIN vulnerabilities ('Chip and PIN is Broken' – February 2010) http://www.emvco.com[...] EMVCo 2010-03-26
[55] 웹사이트 New flaws in chip and pin system revealed (11 February 2010) https://www.bbc.co.u[...] BBC 2015-12-09
[56] 웹사이트 Chip and PIN is broken https://www.lightblu[...] 2010-02-11
[57] 뉴스 Card fraud: banks now have to prove your guilt https://www.telegrap[...] 2009-10-15
[58] 웹사이트 Chip & PIN is definitely broken http://dev.inversepa[...] Aperture Labs 2015-05-10
[59] 웹사이트 EMV – Chip & Pin CVM Downgrade Attack http://dev.inversepa[...] Aperture Labs and Inverse Path 2015-05-10
[60] 간행물 The EMV Standard: Break, Fix, Verify https://www.computer[...]
[61] 웹사이트 The EMV Standard: Break, Fix, Verify https://emvrace.gith[...]
[62] 웹사이트 US credit cards outdated, less useful abroad, as 'Chip and PIN' cards catch on http://www.creditcar[...]
[63] 웹사이트 Visa Australia http://www.visa-asia[...] 2015-06-29
[64] 뉴스 For Americans, Plastic Buys Less Abroad https://www.nytimes.[...] 2009-09-29
[65] 웹사이트 Chargeback Guide http://www.mastercar[...] MasterCard Worldwide 2015-05-10
[66] 웹사이트 Operating Regulations http://corporate.vis[...] Visa International
[67] 웹사이트 The Journey To Dynamic Data http://www.paymentsj[...] Visa
[68] 보도자료 Visa Expands U.S. Roadmap for EMV Chip Adoption to Include ATM and a Common Debit Solution http://pressreleases[...] Visa 2015-05-10
[69] 웹사이트 MasterCard Announces Five Year Plan to Change the Face of the Payments Industry in Australia http://www.mastercar[...] Mastercard Australia
[70] 웹사이트 Malaysia first to complete chip-based card migration https://www.thestar.[...]
[71] 웹사이트 US learns from Malaysia, 10 years later http://www.therakyat[...] The Rakyat Post 2015-10-14
[72] 뉴스 Anti-fraud credit cards on trial http://news.bbc.co.u[...] 2003-04-11
[73] 웹사이트 The chip and PIN guide http://www.chipandpi[...]
[74] 웹사이트 '[ARCHIVED CONTENT] UK Government Web Archive – The National Archives' http://www.fsa.gov.u[...]
[75] 웹사이트 Chip Liability Shift https://www.globalpa[...] globalpayments
[76] 간행물 Discover to enforce EMV liability shift by 2015 http://www.finextra.[...] Finextra Research 2012-11-12
[77] 웹사이트 Interac - For Merchants https://www.interac.[...]
[78] 웹사이트 EMV Reduces Card-Present Fraud in Canada (Infographic) - The Official Helcim™ Blog https://www.helcim.c[...]
[79] 웹사이트 Discover Implements EMV Mandate for U.S., Canada and Mexico http://discovernetwo[...]
[80] 간행물 American Express Announces U.S. EMV Roadmap to Advance Contact, Contactless and Mobile Payments http://about.america[...] American Express 2012-06-29
[81] 웹사이트 EMV's Uncertain Fate in the US http://proteanpaymen[...] Protean Payment
[82] 웹사이트 Wells Fargo Introduces New EMV Card for Consumers http://www.banktech.[...] Bank Systems & Technology 2012-08-03
[83] 웹사이트 "Travelex Offers America's First Chip & PIN Enabled Prepaid Foreign Currency Card" http://www.businessw[...] 2010-12-01
[84] 뉴스 Coming Soon to Checkouts: Microchip-Card Payment Systems https://www.nytimes.[...] 2015-09-23
[85] 웹사이트 UNFCU to be first issuer in the US to offer credit cards with a high security chip http://www.unfcu.com[...] United Nations Federal Credit Union
[86] 간행물 United Nations Federal Credit Union Selects Gemalto for First U.S. Issued Globally Compliant Payment Card http://www.gemalto.c[...] Gemalto 2010-05-13
[87] 웹사이트 Chip-and-Pin and Chip-and-Signature Credit Card Primer for 2013 http://www.frequentb[...] Frequent Business Traveler 2013-07-25
[88] 웹사이트 Is the rocky road to EMV retail adoption getting smoother? http://www.cio.com/a[...] 2017-03-20
[89] 웹사이트 EMV Credit Cards Poll http://www.creditcar[...]
[90] 뉴스 Retailers have chip card readers -- why aren't they using them? https://www.cbsnews.[...]
[91] 뉴스 The Plan to Make Chip Credit Cards Less Annoying https://www.bloomber[...] 2017-07-17
[92] 웹사이트 EMV Migration – Driven by Payment Brand Milestones http://www.emv-conne[...] 2012-07
[93] 웹사이트 Amex joins Visa in postponing US gas EMV migration https://www.payments[...] 2020-05-05
[94] 웹사이트 MasterCard Brings EMV Chip-Card Liability Policy to U.S. ATMs http://www.paymentss[...] SourceMedia 2012-09-10
[95] 웹사이트 EMV Fuel Liability Delay Pumps Card Fraud Concerns http://www.cutimes.c[...]
[96] 간행물 MasterCard Extends U.S. EMV Migration Roadmap to ATM Channel https://newsroom.mas[...] Mastercard 2012-09-10
[97] 웹사이트 EMV For U.S. Acquirers: Seven Guiding Principles for EMV Readiness http://www.mastercar[...]
[98] 간행물 Visa Announces U.S. Participation in Global Point-of-Sale Counterfeit Liability Shift http://usa.visa.com/[...] Visa 2011-08-09
[99] 뉴스 Coming Soon to Checkouts: Microchip-Card Payment Systems https://www.nytimes.[...] 2015-09-23
[100] 웹인용 MasterCard Product & Services - Documentation http://www.paypass.c[...]


본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.

문의하기 : help@durumis.com