식당에서 긁은 카드, 해외에서 버젓이 유통된다

 
 
기사공유
  • 카카오톡 공유
  • 카카오톡 공유
  • 네이버 블로그
  • 카카오스토리
  • 텔레그램 공유
  • url 공유
포스단말기 관리 부실이 결국 또다시 신용카드 정보 유출 재앙을 불러왔다. 더욱이 유출된 고객정보가 해외로 추가 유출된 정황이 드러나 고객들의 불안감은 극에 달한 상황이다.

지난 4일 광주서부경찰서는 포스(POS·Point-of-sale)단말기 관리업체의 부실한 서버 관리로 식당, 주점등 200여 가맹점에서 신용카드로 결제한 고객들의 카드정보 및 개인정보 1200만건이 유출됐다고 밝혔다. 유출된 정보는 고객들의 신용카드 결제정보 450만건과 개인정보 750만 건 등 총 1200만건에 달한다.

광주서부경찰서 관계자는 “포스단말기 가맹점의 고객 정보를 특별한 보안조치 없이 방치한 혐의(개인정보보호법 위반)로 서울지역의 포스 판매·관리업체 C사 직원 최모(39)씨를 불구속 입건하고 긴급 서버접근제한 조치로 추가 유출을 막았다”고 밝혔다.

이번 사건은 최근 카드3사 정보유출 사태 이후 실태 점검 중 포털사이트인 구글에서 카드번호 입력만으로 포스관리업체의 백업서버에 접속된다는 사실을 확인, 수사에 착수한 것으로 알려졌다.

경찰조사 결과 C사는 해당 서버에 암호화 등 접근금지 조치를 전혀 하지 않았고 작업 후 고객 관련 정보를 삭제하지 않은 채 방치한 것으로 드러났다. 이 때문에 구글에서 간단한 검색만으로도 모든 고객 정보를 훤히 들여다 볼 수 있었다.

식당에서 긁은 카드, 해외에서 버젓이 유통된다

◆포스단말기 해킹, 국내도 안전하지 않아

더욱 큰 문제는 유출된 고객정보를 지난해 1월부터 최근까지 20여차례에 걸여 미국 내 특정 아이피(IP)주소에서 지속적으로 접속한 정황이 확인돼 2차 피해가 심각하게 우려된다는 점이다.

실제로 최근 국내 신용카드 정보를 판매하는 해외사이트가 알려져 여론이 들끓은 바 있다. 미국에서 운영되는 것으로 추정되는 이 사이트에는 국내 고객들의 온라인 결제가 가능한 카드번호·유효기간 등 신용카드 정보가 고스란히 판매되고 있었다.

현재 이 사이트에서 거래되는 국내 신용카드 정보는 3600여개에 달하며 신용카드 등급에 따라 최소 32달러에서 최대 88달러에 팔리고 있다.

미국 컴퓨터 범죄정보기업인 인텔크롤러(IntelCrawler)에 따르면 이 사이트에서 판매되는 카드정보들은 미국 내 유통업체 포스단말기를 통해 해킹된 것으로 추정된다. 인텔크롤러는 '블랙POS'(BlackPOS)라는 악성코드가 유통업체 포스단말기에 접근해 암호화되지 않은 카드정보를 해킹해 정보를 빼갔다고 밝혔다. 또한 이 악성코드는 이미 동유럽 등 사이버 범죄집단에 판매된 것으로 알려졌다.

포스단말기 해킹 원리는 카드정보를 저장하고 있는 포스단말기에 악성코드가 침입하고 암호화되지 않은 카드정보를 유출하는 방식이다. 최근 통용되는 포스단말기는 인터넷 회선이 연결돼 있어 이를 통해 밴사에 카드 승인내역을 전송한다. 전화 회선으로 연결된 단말기의 경우 악성코드를 통한 해킹은 불가능하다.

◆포스단말기 보안표준화 지키지 않는 이유

국내 포스단말기도 미국과 사정이 크게 다르지 않다. 포스단말기는 주로 대형 가맹점이나 프랜차이즈 가맹점에서 출고 내역관리 등을 위해 사용해왔지만 최근 자영업자들의 이용도 늘고 있는 추세다. 포스단말기의 경우 카드정보를 읽어 전송하기만 하는 리더기와 달리 단말기 자체에 카드정보를 저장할 수 있는 기기다.

이에 따라 국내 포스단말기도 해킹으로부터 안전할 수 없다는 지적이 제기돼 왔다. 미국의 사례와 같이 국내 포스단말기도 대부분 인터넷회선이 연결돼 있고, 단말기에 대한 보안 표준도 제대로 지켜지지 않고 있기 때문이다.

사실 포스단말기 해킹은 수년전부터 지적을 받았던 문제다. 이에 따라 금융감독원은 지난 2010년 “단말기 보안 강화 방안을 마련해 전국 모든 가맹점에 적용하겠다”고 밝힌 바 있다. 금감원은 포스단말기에 표준화된 보안프로그램을 설치하고 신용카드 거래정보 저장을 금지해 중요 거래정보는 암호화하도록 했다.

하지만 약 220만 전국 신용카드 가맹점의 포스단말기 설치를 통제할 수 없는 데다 포스단말기 제조업체도 500여 업체에 달해 관리·감독이 제대로 이뤄지지 않고 있다. 때문에 보안이 검증되지 않은 포스단말기가 버젓히 유통되고 있는 실정이다.

가맹점과 포스단말기 제조업체가 보안표준화를 지키지 않는 이유는 법적 구속력이 없는 권고 사항일 뿐이기 때문. 또한 포스단말기 기종이 현재 500여종 이상으로 이에 맞는 보안프로그램을 일일이 개발할 수 없다는 현실적 문제도 있다.

여신협회 관계자는 “현재 포스단말기 보안인증 제도가 마련돼 있지 않다. 제대로 된 인증기관에서 인증을 거친 단말기가 유통된다면 포스단말기 해킹 위험은 크게 줄어들 것”이라고 말했다.
 

박효주
박효주 hj0308@mt.co.kr  | twitter facebook

머니위크 박효주 입니다.

이 기자의 다른기사 보기 >
  • 0%
  • 0%
  • 코스피 : 3202.32하락 40.3318:03 07/30
  • 코스닥 : 1031.14하락 12.9918:03 07/30
  • 원달러 : 1150.30상승 3.818:03 07/30
  • 두바이유 : 75.10상승 1.2318:03 07/30
  • 금 : 73.68상승 0.8618:03 07/30
  • [머니S포토] 피켓시위 LH노조원과 인사하는 與 '송영길'
  • [머니S포토] 국민의힘 입당한 윤석열
  • [머니S포토] 입장하는 이인영 통일부 장관
  • [머니S포토] '체계·자구 심사권 폐지' 촉구하는 장경태 의원
  • [머니S포토] 피켓시위 LH노조원과 인사하는 與 '송영길'

커버스토리

정기구독신청 독자의견