POS단말기 해킹 무방비…오늘도 해외에서 판매되는 내 정보
박효주 기자
13,441
공유하기
-
카카오
-
카카오 나에게
-
페이스북
-
트위터
-
네이버
-
텔레그램
-
링크 복사
최근 신용카드 정보를 판매하는 해외사이트가 알려져 고객들의 불안감이 커지고 있다. 미국에서 운영되는 것으로 추정되는 이 사이트에는 국내 고객들의 온라인 결제가 가능한 카드번호·유효기간 등 신용카드 정보가 고스란히 판매되고 있다.
현재 이 사이트에서 거래되는 국내 신용카드 정보는 3600여개에 달하며 신용카드 등급에 따라 최소 32달러에서 최대 88달러에 팔리고 있다.
미국 컴퓨터 범죄 정보 기업인 인텔크롤러(IntelCrawler)에 따르면 이 사이트에서 판매되는 카드 정보들은 미국 내 유통업체 포스단말기(POS·Point-of-sale)를 통해 해킹된 것으로 추정된다. 인텔크롤러는 '블랙POS'(BlackPOS)라는 악성코드가 유통업체 포스단말기에 접근해 암호화되지 않은 카드정보를 해킹해 정보를 빼갔다고 밝혔다. 또한 이 악성코드는 이미 동유럽 등 사이버 범죄집단에 판매된 것으로 알려졌다.
포스단말기 해킹 원리는 카드정보를 저장하고 있는 포스단말기에 악성코드가 침입하고 암호화되지 않은 카드정보를 유출하는 방식이다. 최근 통용되는 포스단말기는 인터넷 회선이 연결돼 있어 이를 통해 밴사에 카드 승인내역을 전송한다. 전화 회선으로 연결된 단말기의 경우 악성코드를 통한 해킹은 불가능하다.
◆포스단말기 보안표준화 지키지 않는 이유
문제는 국내 포스단말기도 미국과 크게 다르지 않다는 점이다. 포스단말기는 주로 대형 가맹점이나 프랜차이즈 가맹점에서 출고 내역관리 등을 위해 사용해왔지만 최근 자영업자들의 이용도 늘고 있는 추세다. 포스단말기의 경우 카드정보를 읽어 전송하기만 하는 리더기와 달리 단말기 자체에 카드정보를 저장할 수 있는 기기다.
이에 따라 국내 포스단말기도 해킹으로부터 안전할 수 없다는 지적이 나오고 있다. 미국의 사례와 같이 국내 포스단말기도 대부분 인터넷 회선이 연결돼 있고, 단말기에 대한 보안 표준도 제대로 지켜지지 않고 있기 때문이다.
사실 포스단말기 해킹은 수년전부터 지적을 받았던 문제다. 이에 따라 금융감독원은 지난 2010년 “단말기 보안 강화 방안을 마련해 전국 모든 가맹점에 적용하겠다”고 밝힌 바 있다. 금감원은 포스단말기에 표준화된 보안프로그램을 설치하고 신용카드 거래정보 저장을 금지해 중요 거래정보는 암호화하도록 했다.
하지만 약 220만 전국 신용카드 가맹점의 포스단말기 설치를 통제할 수 없는 데다 포스단말기 제조업체도 500여 업체에 달해 관리·감독이 제대로 이뤄지지 않고 있다. 때문에 보안이 검증되지 않은 포스단말기가 버젓히 유통되고 있는 실정이다.
가맹점과 포스단말기 제조업체가 보안표준화를 지키지 않는 이유는 법적 구속력이 없는 권고 사항일 뿐이기 때문. 또한 포스단말기 기종이 현재 500여종 이상으로 이에 맞는 보안프로그램을 일일이 개발할 수 없다는 현실적 문제도 있다.
여신협회 관계자는 “현재 포스단말기 보안인증 제도가 마련돼 있지 않다. 제대로 된 인증기관에서 인증을 거친 단말기가 유통된다면 포스단말기 해킹 위험은 크게 줄어들 것”이라고 말했다.
◆IC카드 단말기 전환율 54% '지지부진'
IC(직접회로)카드 단말기 전환도 시급한 문제다. 국내 신용카드 결제 방식은 대부분 MS(마그네틱)단말기로 자기띠(마그네틱 선)를 이용한 스와이프 방식(Swipe·단말기에 카드플레이트를 긁는 방식)이다. 이는 신용카드 뒷면에 붙은 마그네틱 선에 저장된 카드정보를 읽어 결제하는 방법을 말한다.
이 같은 방식은 신용카드 복제에 취약하다. CPU와 메모리가 들어간 IC칩과는 달리 MS에 저장된 정보는 자성을 이용해 정보를 기록하기 때문에 복제가 쉽다. 따라서 IC칩이 내장된 신용카드일지라도 스와이프 방식으로 결제하면 복제가 가능하다.
실제로 스키머(skimmer)라고 불리는 위조 장치에 카드를 긁으면 5초에서 20초 안에 복제가 끝난다. 스키머는 보통 신용카드 결제 단말기와 유사해 대부분 자신의 카드가 복제되는지조차 눈치채지 못한다.
금융당국이 신용카드 복제 위험이 높은 MS카드를 IC카드로 교체하는 작업을 추진해 현재 전환율은 95%이상을 기록하고 있다. 그러나 IC카드 단말기 보급률은 아직도 절반 수준이다.
업계에 따르면 IC카드와 MS카드를 동시에 사용할 수 있는 카드 단말기를 보유한 가맹점은 전체 카드가맹점(218만개) 중 54%(118만개) 수준에 머물고 있다.
IC카드 단말기 전환이 늦어지는 이유는 카드사와 밴사 그리고 가맹점 간 이해관계가 상충되기 때문이다. 업계의 한 관계자는 “IC카드 단말기 1대당 20만원 정도의 비용이 든다. 전체 가맹점이 단말기를 전환하려면 2000억원 이상 비용이 소요된다”고 귀띔했다.
지금까지는 밴사가 단말기를 가맹점에 무료로 보급해왔다. 이에 따라 카드사들은 밴사도 교체비용을 일부 부담해야 한다는 입장이다. 이에 대해 밴 사업자들의 모임인 한국신용카드밴협회 관계자는 “단말기 교체로 이득을 보는 카드사와 가맹점이 교체비용을 부담해야 한다”고 주장했다. 또한 “단말기를 일괄 교체하기보단 사용년수에 따라 자연 교체될 때까지 시간이 필요하다”고 말했다.
이처럼 비용부담 문제를 두고 밴사와 카드사가 대립하고 있고 가맹점도 당장 영업에 지장이 없기 때문에 IC카드 단말기 전환은 쉽지 않을 것으로 예상된다.
☞ 본 기사는 <머니위크>(www.moneyweek.co.kr) 제321호에 실린 기사입니다.
현재 이 사이트에서 거래되는 국내 신용카드 정보는 3600여개에 달하며 신용카드 등급에 따라 최소 32달러에서 최대 88달러에 팔리고 있다.
미국 컴퓨터 범죄 정보 기업인 인텔크롤러(IntelCrawler)에 따르면 이 사이트에서 판매되는 카드 정보들은 미국 내 유통업체 포스단말기(POS·Point-of-sale)를 통해 해킹된 것으로 추정된다. 인텔크롤러는 '블랙POS'(BlackPOS)라는 악성코드가 유통업체 포스단말기에 접근해 암호화되지 않은 카드정보를 해킹해 정보를 빼갔다고 밝혔다. 또한 이 악성코드는 이미 동유럽 등 사이버 범죄집단에 판매된 것으로 알려졌다.
포스단말기 해킹 원리는 카드정보를 저장하고 있는 포스단말기에 악성코드가 침입하고 암호화되지 않은 카드정보를 유출하는 방식이다. 최근 통용되는 포스단말기는 인터넷 회선이 연결돼 있어 이를 통해 밴사에 카드 승인내역을 전송한다. 전화 회선으로 연결된 단말기의 경우 악성코드를 통한 해킹은 불가능하다.
 |
| ▲ 사진제공=LG전자 |
◆포스단말기 보안표준화 지키지 않는 이유
문제는 국내 포스단말기도 미국과 크게 다르지 않다는 점이다. 포스단말기는 주로 대형 가맹점이나 프랜차이즈 가맹점에서 출고 내역관리 등을 위해 사용해왔지만 최근 자영업자들의 이용도 늘고 있는 추세다. 포스단말기의 경우 카드정보를 읽어 전송하기만 하는 리더기와 달리 단말기 자체에 카드정보를 저장할 수 있는 기기다.
이에 따라 국내 포스단말기도 해킹으로부터 안전할 수 없다는 지적이 나오고 있다. 미국의 사례와 같이 국내 포스단말기도 대부분 인터넷 회선이 연결돼 있고, 단말기에 대한 보안 표준도 제대로 지켜지지 않고 있기 때문이다.
사실 포스단말기 해킹은 수년전부터 지적을 받았던 문제다. 이에 따라 금융감독원은 지난 2010년 “단말기 보안 강화 방안을 마련해 전국 모든 가맹점에 적용하겠다”고 밝힌 바 있다. 금감원은 포스단말기에 표준화된 보안프로그램을 설치하고 신용카드 거래정보 저장을 금지해 중요 거래정보는 암호화하도록 했다.
하지만 약 220만 전국 신용카드 가맹점의 포스단말기 설치를 통제할 수 없는 데다 포스단말기 제조업체도 500여 업체에 달해 관리·감독이 제대로 이뤄지지 않고 있다. 때문에 보안이 검증되지 않은 포스단말기가 버젓히 유통되고 있는 실정이다.
가맹점과 포스단말기 제조업체가 보안표준화를 지키지 않는 이유는 법적 구속력이 없는 권고 사항일 뿐이기 때문. 또한 포스단말기 기종이 현재 500여종 이상으로 이에 맞는 보안프로그램을 일일이 개발할 수 없다는 현실적 문제도 있다.
여신협회 관계자는 “현재 포스단말기 보안인증 제도가 마련돼 있지 않다. 제대로 된 인증기관에서 인증을 거친 단말기가 유통된다면 포스단말기 해킹 위험은 크게 줄어들 것”이라고 말했다.
 |
| ▲카드정보 불법거래 해외 사이트 |
◆IC카드 단말기 전환율 54% '지지부진'
IC(직접회로)카드 단말기 전환도 시급한 문제다. 국내 신용카드 결제 방식은 대부분 MS(마그네틱)단말기로 자기띠(마그네틱 선)를 이용한 스와이프 방식(Swipe·단말기에 카드플레이트를 긁는 방식)이다. 이는 신용카드 뒷면에 붙은 마그네틱 선에 저장된 카드정보를 읽어 결제하는 방법을 말한다.
이 같은 방식은 신용카드 복제에 취약하다. CPU와 메모리가 들어간 IC칩과는 달리 MS에 저장된 정보는 자성을 이용해 정보를 기록하기 때문에 복제가 쉽다. 따라서 IC칩이 내장된 신용카드일지라도 스와이프 방식으로 결제하면 복제가 가능하다.
실제로 스키머(skimmer)라고 불리는 위조 장치에 카드를 긁으면 5초에서 20초 안에 복제가 끝난다. 스키머는 보통 신용카드 결제 단말기와 유사해 대부분 자신의 카드가 복제되는지조차 눈치채지 못한다.
금융당국이 신용카드 복제 위험이 높은 MS카드를 IC카드로 교체하는 작업을 추진해 현재 전환율은 95%이상을 기록하고 있다. 그러나 IC카드 단말기 보급률은 아직도 절반 수준이다.
업계에 따르면 IC카드와 MS카드를 동시에 사용할 수 있는 카드 단말기를 보유한 가맹점은 전체 카드가맹점(218만개) 중 54%(118만개) 수준에 머물고 있다.
IC카드 단말기 전환이 늦어지는 이유는 카드사와 밴사 그리고 가맹점 간 이해관계가 상충되기 때문이다. 업계의 한 관계자는 “IC카드 단말기 1대당 20만원 정도의 비용이 든다. 전체 가맹점이 단말기를 전환하려면 2000억원 이상 비용이 소요된다”고 귀띔했다.
지금까지는 밴사가 단말기를 가맹점에 무료로 보급해왔다. 이에 따라 카드사들은 밴사도 교체비용을 일부 부담해야 한다는 입장이다. 이에 대해 밴 사업자들의 모임인 한국신용카드밴협회 관계자는 “단말기 교체로 이득을 보는 카드사와 가맹점이 교체비용을 부담해야 한다”고 주장했다. 또한 “단말기를 일괄 교체하기보단 사용년수에 따라 자연 교체될 때까지 시간이 필요하다”고 말했다.
이처럼 비용부담 문제를 두고 밴사와 카드사가 대립하고 있고 가맹점도 당장 영업에 지장이 없기 때문에 IC카드 단말기 전환은 쉽지 않을 것으로 예상된다.
☞ 본 기사는 <머니위크>(www.moneyweek.co.kr) 제321호에 실린 기사입니다.
<저작권자 ⓒ ‘성공을 꿈꾸는 사람들의 경제 뉴스’ 머니S, 무단전재 및 재배포 금지>
<보도자료 및 기사 제보 ( [email protected] )>