신용카드 결제에 사용되는 POS 단말이 악성코드에 감염돼 사용자들에게 직접적인 피해를 입힌 사례가 끊임없이 보고되고 있다. 지난해 말 미국 소매업체 타깃에 이어 국내에서도 연도 신용카드 정보가 유출돼 복제카드를 통해 현금이 인출되는 사고가 발생하면서 POS 보안 취약점 문제가 제기된 바 있다.
디지털포렌식산업포럼이 서울 삼성동에서 16일 개최한 제 17회 조찬세미나 ‘수사사례를 통해 본 정보보호 대책’에서 POS 해킹사고를 담당한 김진환 경찰청 사이버안전국 사이버범죄대응과 수사관은 “POS 해킹 사고를 막기 위해서는 IC칩이 내장된 신용카드로 바꿔야 한다. IT를 잘 모르는 신용카드 가맹점이 POS를 안전하게 관리하기를 바라는 것은 어려운 일이며, POS 프로그램 개발사들도 경영환경이 열악한 형편이어서 취약점 문제를 해결하기를 기대할 수 없다”고 강조했다.
구형 마그네틱 카드, 복제 쉬워
김진환 수사관의 설명에 따르면 이 사고는 구형 마그네틱 카드에 담긴 금융정보와 해커가 미리 입수한 멤버십 포인트카드 비밀번호를 결합시켜 금융정보를 획득한 사기 수법이다.
신용카드 가맹점들이 POS 단말기를 일반 인터넷에 연결하고 있어 악성코드에 쉽게 감염된다. 악성코드에 감염된 POS가 신용카드를 읽는 순간 해당 금융정보를 해커에게 전송한다. 마그네틱 카드는 마그네틱에 사용자 개인정보와 신용카드 번호·유효기간 등 신용카드 정보가 자세하게 적혀있다. 이 정보를 이용하면 신용카드를 쉽게 복제할 수 있다.
신용카드를 이용해 현금을 인출하기 위해서는 비밀번호를 알아야 한다. 비밀번호는 멤버십 포인트 적립을 위해 사용자가 비밀번호를 입력하면 해당 값을 해커에게 전송하는 방법으로 획득했다.
김 수사관은 “소규모 음식점·소매업 등 뿐만 아니라 대규모 쇼핑몰에서도 POS는 일반 인터넷에 연결된다. 최근 휴대용 POS는 와이파이 등 무선 인터넷으로 연결되기 때문에 악성코드 감염에 취약하다”며 “POS 해킹 사고를 막기 위해 근본적으로 POS 단말의 보안 취약점과 네트워크 보안 문제를 해결해야 하지만, 국내 신용카드 거래 시스템 전반의 구조적인 문제 때문에 쉽게 해결할 수 없다. 구형 마그네틱 신용카드에서 IC 카드로 바꾸는 것이 현실적으로 가장 빠른 해법”이라고 말했다.
보안사고 예방위한 정보감사 필요
김 수사관의 발표에 이어 이동근 한국인터넷지흥원 침해사고조사팀장이 ‘최근 해킹동향과 정보감사의 필요성’이라는 주제로 발표를 진행했다.
이 팀장은 웹사이트를 이용한 해킹공격과 이메일을 이용한 타깃공격, 그리고 RAT를 악용한 해킹 등 최근 사이버 침해 사고를 설명한 후 “지능화되는 공격을 탐지하기 위해 정보감사가 반드시 필요하다. KISA는 기업이 정보감사를 도입할 수 있는 툴과 가이드라인을 준비하고 있으며, 연말경 배포할 예정”이라고 말했다.
지능형 공격으로부터 중요 시스템과 데이터를 보호하기 위해 수많은 보안 솔루션을 덧붙이고 있지만, 매번 사고는 예상치 못한 지점에 존재한 보안 취약점으로 인해 발생한다. 취약점을 찾아내기 위해서는 통제 위주의 보안정책 뿐만 아니라 기업 내 중요한 정보가 어떻게 생산·관리·유통되는지 확인하고 라이프사이클에 맞는 보안 정책을 적용할 수 있어야 한다.
정보감사는 정보의 흐름을 제대로 감사하고자 하는 것으로, 기업 내에서 정보감사 툴이 정상적으로 동작하면서 업무 프로세스에 맞게 감사활동을 수행할 수 있어야 한다. 현재 KISA에서는 기업이 실제 현장에 도입할 수 있는 정보감사 프레임워크를 준비하고 있으며, 정보관리 및 가이드라인을 연말까지 보급할 계획이다.
이 팀장은 “정보감사는 사생활 감시·통제의 개념이 아니라 보안사고를 예방하기 위한 조치로 생각하고 접근해야 한다”며 “기업의 규정이 제대로 지켜지고 있는지, 정보의 중요도와 라이프사이클에 맞는 접근정책이 구현돼 있는지 확인하는 것이 중요하다”고 말했다.
