편의점서 카드 긁는 순간부터 정보가 '술술'?

/사진제공=한국인터넷진흥원(KISA)

#편의점 야간 아르바이트생 최모씨(23)는 손님이 없을 때 주로 인터넷 서핑으로 시간을 보낸다. 계산대를 벗어날 수 없어 결제 할 때 사용하는 포스(POS, 판매시점관리시스템) 단말기로 간단한 인터넷 서핑을 즐긴다. 손님이 오면 계산 프로그램으로 바코드를 찍고 결제를 한다.

보안전문가들은 최씨처럼 포스 단말기를 사용하면 '좀비PC'가 될 확률이 100%라고 말한다. 보안솔루션이 없는 포스 단말기로 인터넷 서핑을 할 경우 해커가 원격조정이 가능한 악성코드를 통해 침입할 수 있다는 설명이다.


좀비PC가 되면 해커는 해당 PC 정보를 빼돌릴 수 있을 뿐만 아니라 실시간으로 조정해 디도스(DDoS·분산서비스거부) 공격에도 이용할 수 있다.

'정보유출 사각지대'에 놓인 대다수 포스 단밀기 관리 실태다. 급증하는 규모에 반해 허술한 관리로 포스 단말기 해킹 사고는 이미 빈번하게 터져왔다.

◇잦은 포스 단말기 해킹사고에 카드업계는


이달 초 경찰은 포스 단말기 해킹으로 고객 신용카드 정보 등 1200만건이 유출된 사건이 경찰에 적발됐다. 포스 단말기는 일반 카드 결제 단말기와 달리 카드유효성검사코드(CVC), 유효기간 등 카드정보가 저장돼 해커에게는 좋은 먹잇감이다.

편의점, 음식점, 대형마트 등 주로 대형 가맹점에서 사용되던 포스 단말기는 최근 영세 가맹점까지 확대 설치되는 추세다. 경찰은 국내 포스단말기 설치관리업체가 500여개 넘게 운영되는 것으로 파악하고 있다. 영세업체가 많다보니 관리가 쉽지 않은 상황이다.

포스 단말기 보안문제는 사안의 시급함에도 불구하고 보안을 책임질 주체가 명확하지 않다는 점 때문에 특별한 대책 없이 표류해 왔다.

포스단말기에서 대형 해킹사고가 터졌던 2010년 금융감독원 주도로 단말기 보안을 위한 태스크포스(TF)가 꾸려졌고 그해 6월 포스 단말기 기술표준도 부랴부랴 마련됐다. 대응책으로 소프트웨어 형식의 솔루션도 만들었다. 그러나 소프트웨어 솔루션에 호환성 충돌이 일어나면서 사업이 중단됐다. 포스 단말기가 워낙 여러 기종이고 가맹점마다 관리 상황이 달라 발생한 상황이다.

이후 카드업계가 포스 단말기 외부에 별도의 모듈을 설치해 정보를 암호화하는 하드웨어 방식의 보안 표준을 만들기로 결정했다. 그러나 여신금융협회의 사업자 선정에 일부 밴사(VAN, 결제승인대행업체)가 반발하면서 사업은 또다시 멈췄다. 포스 단말기 보안 사업은 지난주 여신협회와 업계 관계자들과 카드 단말기 보안 등록제 논의를 재개하기 까지 반년 이상 중단돼 왔다.

그러는 동안 일부 밴사는 자체 솔루션을 개발해 포스 단말기사에 제공하기도 했다. 최근 국내 최대 밴사인 한국정보통신(KICC)은 마그네틱 리더기에서 카드를 긁는 즉시 주요 카드정보(유효기간, CVC값)를 암호화하는 보안 솔루션을 포스 단말기 업체에 제공키로 했다.

◇"단말기 자체 보안만으로는 미봉책"

보안업계는 밴사들이 자체적으로 내놓고 있는 포스 보안 솔루션이 미봉책에 불과하다고 지적한다. 포스가 설치된 가맹점에서 카드사까지 결제 정보가 이동하는 과정에서 정보 유출 위험이 있다는 설명이다.

전문가들은 결제 정보를 정산 혹은 확인하기 위해 암호화를 풀어야하는 순간이 있고, 빈틈을 노리는 해커들이 바로 그 지점을 눈여겨본다고 경고한다.

윤광택 시만텍 이사는 "해커들은 포스 장비를 관리하는 기업 네트워크를 공격한 이후, 포스 네트워크로 이동해 데이터를 빼돌리는 방식으로 진입하기도 한다"며 "지난 3·20 해킹 사태처럼 중앙서버를 통해 정보를 빼내가는 것"이라고 설명했다.

다른 보안업계 관계자는 "마그네틱 카드에서 IC칩 카드로 옮겨가는 상황에서 밴사가 내놓은 마그네틱 카드 대상 보안솔루션이 전체 포스 보안위협을 줄이는데 얼마나 도움이 될지는 의문"이라고 덧붙였다.

포스 보안 위협은 다음달 8일을 기점으로 더욱 커질 수 있다. 마이크로소프트(MS)가 윈도XP에 대한 보안 지원을 중단한다고 밝혔는데, 대다수 포스가 윈도XP 임베디드를 운영체제(OS) 활용하고 있기 때문이다. 이에 따라 취약점을 노린 악성코드 등이 증가할 것으로 예상된다.

포스 단말기는 같은 상황에 놓인 자동화기기(ATM/CD)보다도 상황이 열악하다. 자동화기기는 금융감독원 지도에 따라 은행이 나서서 망분리 등 대책을 세우는 반면 포스 단말기는 현황 파악조차 힘들다. 영세업체들이 대부분 관리하고 있는 탓이다. 윈도 상위버전으로 교체하거나 다른 OS를 사용하는 등 대책 마련에 대한 인식이 부족한 상황이다.

◇보안업계 "네트워크 보안 강화 등 대책 필요"

보안업계는 시급한 과제로 포스 단말기의 망분리를 꼽는다. 기본 결제업무를 위한 네트워크와 일반 인터넷 네트워크 사이에 벽을 세우는 것이다. 본연의 기능에만 충실하도록 제어하는 보안 솔루션을 도입해 단독 단말기로 사용되면 외부 공격에 노출될 가능성을 줄일 수 있다.

또 정보가 여러 단계를 거쳐서 이동하는 구조에서는 '네트워크 보안'이 중요하다고 강조한다. 정보가 1차적으로 수집되는 단계의 하드웨어 보안으로는 한계가 있다는 것이다.

한 보안업계 관계자는 "결제 정보가 이동하는 과정마다 해킹이나 악성코드 감염을 막는 백신, 보안솔루션을 마련해야한다"며 "현재 대다수 포스 시스템은 이러한 보안이 취약한 것이 사실"이라고 말했다.

예를 들면, 결제 정보가 이동하는 연결 고리마다 실시간 감시를 강화하는 솔루션을 도입할 수 있다. 보안업체 시스코는 트래픽 흐름 정보를 수집·분석해 데이터 거래를 실시간으로 감시하는 솔루션을 제안했다. 비정상적인 트래픽이 발생하는 경우 신속하게 차단함으로써 데이터 유출과 악성코드 전파를 막는 방식이다.

이밖에도 보안업계는 데이터 암호화 처리, 포스 단말기 운영체제 업그레이드 및 관리 소프트웨어 보안 패치 적용 등 여러 보안 대책이 필요하다고 말한다.

보안업계 관계자는 "포스는 돈으로 바로 사용할 수 있는 금융정보가 집중된 매체"라며 "해커들이 표적 공격을 하기에 적합한 만큼 이중, 삼중 보안체계가 절실하다"고 말했다.