RFID 차단: 실제로 무엇을 보호하고 무엇을 보호하지 못하는가?
만약 지난 3~4년 사이에 RFID 차단 지갑이나 카드 슬롯에 꽂는 슬림형 RFID 차단 카드를 구입하셨다면, 축하드립니다. 카드 칩이 보편화되면서 대부분 효과가 없어진 카드 사기 수법으로부터 보호받고 계신 겁니다. 광고에서는 도둑이 천을 통해 계좌에서 돈을 훔칠 수 있다고 말합니다. 이 광고는 무선 통신 원리에 대해서는 맞지만, 카드 자체에 대해서는 틀렸습니다. 광고의 핵심은 직관적입니다. 비접촉식 카드가 무선으로 데이터를 전송하면, 숨겨진 리더기를 가진 낯선 사람이 그 데이터를 가로채서 돈이 사라진다는 것입니다. 이는 우리가 이미 알고 있는 물리적 절도의 법칙을 따르기 때문에 뇌가 쉽게 받아들이는 위협 모델입니다. 하지만 문제는 그 무선 연결의 반대편에 있는 최신 결제 카드가 광고에서 가정하는 방식대로 작동하지 않는다는 것입니다.
이 글에서는 RFID 스키밍이 실제로 무엇이었는지, EMV 비접촉식 프로토콜이 무엇을 바꾸었는지, 그리고 현재 NFC 사기에서 어떤 유형이 증가하고 있는지 살펴봅니다. 미리 말씀드리자면, 현재 증가하고 있는 사기는 어떤 지갑으로도 막을 수 없는 유형입니다.
RFID 스키밍은 원래 어떻게 작동했을까?
유명한 시연들은 모두 2009년에서 2013년 사이에 이루어졌습니다. 파블로스 홀먼과 크리스틴 파겟 같은 연구원들은 데프콘과 TED 무대에 올라 누군가의 주머니 근처에 블랙박스를 가져다 대고 신용카드와 똑같이 생긴 복제 카드를 꺼냈습니다. 컨퍼런스 영상 클립은 순식간에 퍼져나갔습니다. 그 몇 분 동안 지갑, 카드 슬리브, 여권 커버 등 다양한 형태의 카드 복제 마케팅이 시작되었습니다.
해당 데모에서 사용된 카드 복제 장치는 결제 업계에서 '마그네틱 스트라이프 유사 RFID'라고 부르는 카드였습니다. 이는 2005년부터 2013년경 미국에서 사용되었던 초기 체이스 블링크(Chase Blink) 프로그램과 같은 초기 비접촉식 카드의 후속 기술입니다. 이 카드는 단거리 무선 링크를 통해 마그네틱 스트라이프에 인코딩된 데이터, 즉 기본 계좌 번호, 만료일, 카드 소지자 이름(많은 경우), 그리고 고정 카드 검증 값(CVA)을 전송했습니다. 크기가 약간 큰 안테나를 장착한 스키머는 몇 센티미터 거리에서 천이나 얇은 가죽을 통해 이 모든 데이터를 읽을 수 있었습니다. 이렇게 획득한 데이터만으로도 빈 마그네틱 스트라이프에 복제 카드를 인코딩하여 카드 결제를 허용하는 모든 가맹점에서 사용할 수 있었습니다.
이러한 방식이 가능했던 기술적인 이유는 카드가 ISO 14443 표준, 즉 근거리 무선 주파수 식별(RFID) 기술을 사용했기 때문입니다. 이 기술은 약 10cm의 근접 거리에서 작동하도록 설계되었습니다. 시연자들은 더 큰 안테나와 안정적인 전원 공급 장치를 사용하여 이 거리까지 판독 범위를 넓혔습니다. 도서관 책이나 창고 재고 태그에서 볼 수 있는 ISO 15693 표준을 사용하는 근접 태그는 최대 70cm 거리에서 판독할 수 있습니다. 결제 카드는 애초에 이 표준을 사용하지 않았습니다. 하지만 대중은 카드를 방 건너편에서도 읽을 수 있다는 인상을 강하게 받았습니다. 이러한 인식은 2010년에도 잘못된 것이었지만, 지금은 훨씬 더 잘못된 것입니다.
그 공포가 얼마나 오랫동안 지속되었는지 계속 생각하게 됩니다. 유명한 데모 영상에 나왔던 카드들은 이제 실제로 존재하지 않습니다. 결제 업계는 발전했지만, 그런 카드들에 대비하기 위해 만들어진 제품군은 그렇지 않았습니다.
EMV가 RFID 위협을 제거한 이유는 무엇일까요? RFID 차단은 RFID 차단을 막기 위해 판매되었던 것입니다.
마그네틱 스트라이프 방식의 카드 복제 공격을 종식시킨 것은 지갑의 성능 향상이 아니었습니다. 바로 EMV 칩, 더 정확히는 지난 몇 년간 발행된 모든 비자, 마스터카드, 아메리칸 익스프레스, 디스커버 카드에 탑재된 비접촉식 EMV 칩 덕분이었습니다.
최신 비접촉식 카드를 카드 리더기에 대면 다음과 같은 과정이 진행됩니다. 카드와 단말기는 해당 거래에 고유한 거래 횟수를 기록합니다. 카드에 내장된 칩은 제조 과정에서 생성되어 절대 전송되지 않는 비밀 키를 사용하여 ARQC(Authorization Request Cryptogram)라고 하는 일회용 암호화 문자를 생성합니다. 리더기는 ARQC와 몇 가지 추가 정보를 카드 발급 은행으로 전송하여 승인을 받습니다. 만약 카드 스키머가 주머니 속에 숨어 있다가 이 과정을 가로챈다면, 스키머는 ARQC, 기본 계좌 번호, 만료일 외에는 거의 아무것도 얻지 못합니다. 카드 뒷면의 세 자리 숫자인 CVV2 코드도, PIN 번호도, 마그네틱 스트라이프의 트랙 2 데이터도, 재사용 가능한 카드 인증 값도 얻을 수 없습니다.
캡처된 ARQC를 다시 사용하는 데 무슨 문제가 있나요? 카운터는 이미 증가했습니다. 다음 거래에는 다음 카운터 값을 가진 새로운 암호화 방식이 필요합니다. 발급사의 승인 시스템은 재실행을 거부할 것입니다. 스키밍된 데이터는 카드 복제나 일반적인 대면 판매에 사용하기에는 무용지물입니다.
이러한 비대칭성을 구체적으로 설명하기 위해, 일반 RFID 스캐너가 EMV 비접촉식 카드를 한 번 터치했을 때 얻을 수 있는 데이터와 실제로 작동하는 복제 카드가 필요로 하는 데이터를 비교해 보겠습니다.
| 필드 | EMV RFID 스키밍으로 캡처됨 | 복제 또는 재생이 필요합니다 |
|---|---|---|
| 기본 계좌 번호(PAN) | 예 | 예 |
| 만료일 | 예 | 예 |
| 카드 소지자 이름 | 때때로 | 때때로 |
| ARQC 암호문 | 예 (일회용, 카운터 보관) | 아니요 (다음 거래에는 새 카드가 필요합니다) |
| CVV2 (카드 뒷면의 세 자리 숫자) | 아니요 | 네, 대부분의 카드 미소지 결제에서 가능합니다. |
| 핀 | 아니요 | 네, ATM 인출에는 가능합니다. |
| 전체 마그네틱 스트라이프 트랙 2 데이터 | 아니요 | 네, 카드 스와이프 전용 카드에 복제하는 것을 허용합니다. |
| 카드 비밀 키 | 아니요 (칩에서 절대 떨어지지 않음) | 예, 유효한 ARQC를 생성할 수 있습니다. |
이와 관련된 수치는 주목할 만합니다. EMV 표준을 운영하는 업계 단체인 EMVCo에 따르면 2024년 4분기 기준으로 전 세계 모든 카드 결제 거래의 96.20%가 EMV 칩을 사용했습니다. 발급된 카드의 약 72%가 EMV 기능을 지원합니다. 미국에서 비자는 칩 업그레이드를 완료한 가맹점에서 2015년 12월부터 2017년 12월까지 위조 카드 사기 피해액이 76% 감소했다고 발표했습니다. 이는 일시적인 감소세가 아닙니다. EMV 칩이 대면 카드 복제의 경제적 타당성을 완전히 없애고 있다는 것을 보여줍니다.
한 가지 예외 사항이 있는데, 이는 주목할 만한 문제입니다. 기본 계좌 번호와 만료일을 이용하면 3DS 인증을 시행하지 않거나 CVV2를 확인하지 않는 취약한 카드 미제시 가맹점에서 결제를 시도할 수 있습니다. 이는 실제로 심각한 문제입니다. 게다가 이는 RFID 자체의 문제도 아닙니다. 동일한 정보가 가맹점 해킹, 피싱 페이지, 그리고 전자상거래 결제 과정에서 발생하는 카드 정보 유출을 통해 끊임없이 유출되고 있습니다. RFID 차단 지갑은 이러한 유출을 막는 데 아무런 도움이 되지 않습니다.
RFID 차단 제품이 절대 보여주지 않는 비접촉식 사기 번호
RFID 차단 지갑을 구매하려는 사람들은 실제 사기 발생 건수를 거의 볼 수 없습니다. 왜냐하면 해당 지갑이 방지 대상으로 홍보되는 사기 유형이 실제로 돈을 잃는 유형이 아니기 때문입니다.
| 원천 | 년도 | 수치 |
|---|---|---|
| 영국 금융협회 연례 사기 보고서 2025 | 2024 | 영국, 비접촉식 결제 사기 피해액 4,110만 파운드 기록…2020년 이후 처음으로 전년 대비 감소세 |
| 영국 금융 | 2024 | 영국 내 무단 카드 사기 피해액 총액 5억 7260만 파운드 |
| 파생된 | 2024 | 영국에서 발생하는 모든 카드 사기 중 비접촉식 사기는 약 7.2%를 차지합니다. |
| 영국 금융 | 2024 | 카드 미제시 사기는 전체 카드 사기의 약 70%를 차지하며, 그 피해액은 4억 파운드가 넘습니다. |
| FCA 참여 보고서 | 2025 | 비접촉식 결제 사기 발생률은 100파운드당 1.3펜스인 반면, 모든 무단 카드 거래의 사기 발생률은 100파운드당 6펜스입니다. |
| FCA / 컴퓨터 위클리 | 2024 | 영국 비접촉식 결제 건수: 189억 건, 전년 대비 3.4% 증가, 평균 결제액 15.86파운드 |
| FICO 미국 카드 스키밍 2025 리뷰 | 2025 | 미국 사기방지기구는 RFID 스키밍을 별도의 손실 유형으로 구분할 수 없다고 명시적으로 밝히고 있습니다. |
마지막 줄을 두 번 읽어보세요. 미국에서 RFID 스키밍으로 인한 손실액이 널리 알려지지 않은 이유는 카드 사기를 집계하는 사람들이 의미 있는 수치를 찾지 못했기 때문입니다. 그들은 ATM 스키밍이나 주유기 스키밍처럼 물리적인 장치가 남는 경우만 집계합니다. 데프콘 광고 영상에서 볼 수 있는 것처럼 소비자에게 판매되는 RFID 스키밍 장치는 물리적인 장치에 기록되지 않습니다.
간단히 말해서, 최신 EMV 비접촉식 카드를 이용한 RFID 스키밍으로 인한 손실은 통계적으로 거의 발생하지 않습니다. 컨슈머 리포트, AARP, KnowBe4의 로저 그라임스를 비롯한 여러 보안 전문가, 신원 도용 방지 센터, 체이스, 비자 모두 이와 유사한 내용을 공식적으로 발표했습니다.
캔자스시티 연방준비은행은 2018년 결제 시스템 브리핑에서 미국의 칩 카드 도입 과정을 분석한 결과, 칩 카드 가맹점에서 카드 결제 사기가 전환 완료 후 급격히 감소했으며, 위조 카드 비율은 줄어든 반면 범죄자들이 가장 쉬운 경로인 온라인 채널로 이동하면서 카드 미제시 사기 비율은 증가했다는 사실을 발견했습니다. 이러한 이동은 2020년대 카드 사기의 핵심적인 특징입니다. 모든 형태의 스키밍은 이미 감소하고 있는 카드 결제 사기 유형에서 더욱 작은 비중을 차지하게 되었으며, 비접촉식 스키밍은 그 작은 비중 중에서도 극히 일부에 불과합니다.
한 가지 더 주목할 만한 사실이 있습니다. 영국에서는 2021년에 비접촉식 카드 결제 한도가 25파운드에서 100파운드로 상향 조정되었고, 이후 금융감독청(FCA)은 2025년 3월(2026년)부터 한도가 폐지되고 각 카드사가 자체적으로 한도를 설정할 수 있게 될 것이라고 밝혔습니다. 만약 수동적 비접촉식 카드 정보 복제가 의미 있는 손실 요인이었다면, 건당 노출 위험이 5배 증가했을 것입니다. 하지만 그렇지 않았습니다. 한도 상향 조정과 거래 건수 증가에도 불구하고 2024년 비접촉식 카드 사기는 전년 대비 감소했습니다. 비접촉식 결제 프로토콜이 제 역할을 하고 있는 것입니다.
지갑으로는 막을 수 없는 진짜 NFC 위협
RFID 차단 업계가 2012년의 질문에 답하는 동안 공격자들은 이미 다른 수법을 찾아냈습니다. 현재 가장 빠르게 증가하는 NFC 사기는 주머니 근처에 낯선 사람이 접근하는 것과는 전혀 관련이 없습니다.
2024년 8월, 보안 회사 ESET는 NGate라는 안드로이드 악성코드에 대한 연구 결과를 발표했습니다. 공격 과정은 다음과 같습니다. 피해자는 일반적으로 은행을 사칭하는 문자 메시지를 통해 피싱 공격을 당합니다. 피해자는 은행 보안 업데이트라고 생각되는 앱을 설치합니다. 가짜 앱은 피해자에게 실물 카드를 휴대전화 뒷면에 잠시 대기만 하면 인증이 완료된다는 메시지를 표시합니다. 악성코드는 휴대전화의 NFC 칩을 통해 카드를 인식하고 해당 데이터를 실시간으로 해외에 있는 공격자의 휴대전화로 전송합니다. 공격자는 휴대전화를 손에 든 채 ATM으로 가서 마치 피해자의 카드를 사용한 것처럼 현금을 인출합니다. ESET는 이 악성코드를 이용해 단시간에 세 명의 피해자로부터 약 6,500유로를 갈취한 혐의로 체포된 용의자의 사례를 기록했습니다.
이것이 최초로 널리 보도된 사례였습니다. 2025년 상반기까지 ESET의 원격 측정 데이터에 따르면 NFC 릴레이 공격 탐지 건수가 2024년 하반기 대비 약 35배 증가했습니다. 이 기술은 현재 실제로 사용되고 있습니다. 이 기술은 최신 EMV 비접촉식 카드에 효과적입니다. 왜냐하면 EMV 프로토콜은 카드가 접촉되고, 암호화된 데이터가 최신 상태이며, 카드 발급 은행은 정상적인 거래로 인식하기 때문입니다.
RFID 차단 슬리브는 이러한 공격을 막아주지 못합니다. 피해자가 악성 앱을 설치한 후 자신의 휴대전화에 카드를 직접 터치하는 행위이기 때문입니다. 지갑 주변의 무선 차폐는 공격 대상과는 무관합니다.
이러한 공격을 실제로 막아주는 것은 물리적인 제품으로 만들어 수익을 창출하기가 훨씬 어렵습니다. 피싱 메시지를 알아차리고, 링크를 통해 앱을 설치하지 말고, 카드 인증을 위해 카드를 탭하라는 요청을 경고로 받아들여야 합니다. 이 모든 것을 아마존에서 25달러짜리 지갑에 담을 수는 없습니다.
RFID 차단 기술이 여전히 제 역할을 하는 분야
솔직히 말해서 RFID 차단 자체가 쓸모없다는 건 아닙니다. 문제는 결제 카드 차단 기능이 제품의 가장 취약한 부분이라는 겁니다. 실제로 지갑에서 RFID에 취약한 부분은 은행 카드를 제외한 모든 것입니다.
간단한 목록입니다. 많은 호텔에서 여전히 13.56MHz HID iClass 및 MIFARE Classic 계열의 구형 호텔 키카드를 사용하고 있는데, 이 두 계열 모두 공개된 연구에서 취약점이 발견되어 저렴한 리더기만 있으면 누구나 복제할 수 있습니다. 건물 출입증, 특히 오래된 기업 시스템에서 사용되는 출입증도 같은 취약점을 가진 경우가 많습니다. 도서관 태그는 더 넓은 판독 범위를 사용하는 표준인 ISO 15693을 따르는데, 이 태그는 식별자 정보를 쉽게 유출합니다. 초기 생체인식 여권 중 일부는 기본적인 접근 제어 기능이 취약하여 데이터 페이지 내용을 쉽게 빼낼 수 있었습니다. 멤버십 카드, 헬스장 출입 카드, 선불 교통카드 등은 일반적으로 복제 또는 전송이 용이합니다.
은행 카드와 함께 여러 장의 카드를 휴대하는 경우, 기본적인 카드 보호 슬리브는 실제로 특정 용도로 사용됩니다. 하지만 비접촉식 비자 카드에는 적합하지 않습니다.
지갑 마케팅이 회피하는 부분이 바로 이 비대칭성입니다. 서로 다른 두 가지 문제가 하나의 제품 홍보 문구에 묶이는데, 설명하기 쉬운 문제는 사실 10년 전에 이미 거의 사라진 문제입니다.
실용적인 관점에서 생각해 보세요. 지갑에 있는 물건들을 나열해 보고, 각 물건이 어떤 무선 통신 표준을 사용하는지, 그리고 그 표준에 암호화 계층이 추가되어 있는지 확인해 보세요. EMV 칩이 도입된 은행 카드는 암호화 계층이 있지만, 대부분의 건물 출입증, 호텔 키, 도서관 카드에는 없습니다. RFID 차단 슬리브는 암호화 계층이 없는 물건을 보호해 줄 뿐, 이미 암호화된 것을 강화해 줄 수는 없습니다. 이것이 바로 RFID 차단의 핵심 원리이며, 마케팅적인 요소는 배제했습니다.
