출처=펜타시큐리티
출처=펜타시큐리티

금융정보 유출 사고가 끊이질 않고 있습니다.

국내 고객의 카드정보 90만 건이 해외 다크웹에서 거래되고 있었던 사건, 모바일 금융서비스 토스 및 카카오뱅크 부정 결제 사고까지 올해만 해도 이슈가 된 금융정보 관련 이슈가 많았습니다. 비단 올해가 아니더라도 개인 금융정보 유출 사건은 꾸준히 발생했습니다.

금융정보 유출 경로를 하나로 단정 짓기 어렵고, 오랜 시간 걸쳐 발생한 일이기 때문에 명백하게 밝혀내는 것은 어려움이 있습니다. 다만, 전문가들이 유력한 원인으로 뽑는 것 중 하나가 바로 POS 단말기의 보안 취약점입니다.

실제로 작년 모 은행의 전산망에 악성코드를 심으려다가 검거돼 조사를 받는 해커의 외장하드에 대량의 카드사 고객 개인정보가 발견되었습니다. 사건 조사가 진행 중이지만, 원격제어 악성코드를 직접 제작해 POS 업체 메인 서버에 침투해 각 매장의 단말기에 대량 유포를 시도한 것으로 추정하고 있습니다. 즉 POS 시스템의 보안 취약점을 노린 사례로 보입니다.

POS 단말기 같은 임베디드 기기는 예전부터 보안 취약점을 지적받아왔습니다. 비용 면에서 유리하기 때문에 기존의 POS 단말기 사용 업체들은 오래된 버전의 OS나 프로그램을 사용하는 경우가 많습니다. 예전 버전의 프로그램은 자연스럽게 보안 업데이트의 사각지대에 놓이게 되고, 영리한 해커들은 취약점을 노려 POS 단말기에 입력되는 개인 금융정보를 탈취해 갑니다.

또 POS 단말기는 전국 수십만개의 가맹점이 사용하고 있지만, 백신을 설치해 관리하는 경우는 거의 없습니다. POS 제조사만 300여 곳이 넘고 유통사는 500여 곳이 넘어 특정 OS 기반이나 기기 관리 회사를 지정하여 관리하는 것도 어려운 실정입니다.

그렇다면 POS는 사용하지 말아야 할 시스템일까요? 결론부터 말하자면 당연히 아닙니다. 대신 POS 시스템에 적절한 보안 솔루션을 활용해야 합니다. POS 시스템에는 어떤 보안 솔루션이 필요할까요?

POS 시스템의 구조도. 출처=펜타시큐리티
POS 시스템의 구조도. 출처=펜타시큐리티

우선 POS 시스템은 단말기, 웹서버, DB 서버 등 다양한 시스템이 연계되어 있어 구조에 대한 정확한 이해가 필요합니다. 시스템의 규모나 범위가 넓어 사실상 모든 종류의 보안 위협에 노출되어 있다고 해도 과언이 아닙니다.

게다가 대부분 POS 시스템은 현재 윈도XP 프로페셔널, 윈도XP 임베디드, 윈도XP POS 레디 등을 사용합니다. XP의 공식 지원은 종료되었기 때문에 신종 악성코드 등에 무방비 상태나 다름없습니다. 우리가 식당이나 쇼핑몰에 갔을 때 너무나 자연스럽게 사용하는 카드의 정보가 쉽게 유출될 수 있는 상황입니다.

물론 POS 보안을 위한 국가 차원의 시도가 없었던 것은 아닙니다. 금융감독원에서 보안강화 조치로 보안 소프트웨어를 설치했으며, 보안 기술을 적용한 하드웨어 제품을 설치하거나 인증 등록제를 통한 보안 표준 규정을 만들기도 했습니다. 하지만 호환성이나 카드 종류에 따른 적용 여부 문제로 보류되거나 실질적인 효과를 거두지 못한 경우도 많았습니다. 지난해부터 POS 결제 시스템을 마그네틱에서 IC결제 단말기로 교체해 비교적 안전한 환경을 구축하고 있지만, 항상 안전하다고 단언할 수 없는 것도 사실입니다.

 

POS 보안의 정석

앞선 보안 실패 사례를 반면교사 삼아 생각해보면 POS 보안의 해답은 소프트웨어나 하드웨어에 있는 것이 아닐지도 모릅니다. POS 보안에서 가장 중요한 것은 암호화 기술을 적용하여 POS 시스템에서 필요한 데이터를 암호화하는 것입니다. 해커의 목적은 POS 시스템을 마음대로 조종하는 것도 아니고, POS 단말기를 훔치는 것도 아닙니다. POS 단말기를 통해 입력된 카드 정보나 금융 정보를 훔치는 것이 목적일 것입니다. 그렇다면 그 목적을 달성할 수 없도록 혹은 정보를 탈취하더라도 금융정보를 악용할 수 없게 하는 것이 보안 포인트입니다. 결국, 가장 효과적인 POS 보안은 '암호화를 적용하는 것'이라는 결론이 나옵니다.

POS 보안뿐 아니라 IT 보안에서 중요한 것은 '해킹이나 정보 탈취로 얻을 수 있는 이익보다 보안을 뚫는 데 필요한 비용'을 더 크게 만드는 것입니다. 해커가 시간과 비용을 소모해서 해킹을 한다 하더라도 결과물로 얻을 수 있는 이익이 더 적다면 당연히 해킹 시도를 하지 않을 것입니다. 투입한 만큼 얻을 수 없기 때문입니다.

결과적으로, POS 시스템의 단말기 데이터 암호화, 웹서버 구간 암호화, 암호화 키 관리, 개인정보 및 신용정보 DB 암호화 등 요소별로 적합한 암호화를 적용하여 해킹하는 데 필요한 비용을 높이는 것이 POS 보안에 있어서 가장 중요합니다.

편집자 주. 블록체인 기술이 실생활에 스며들어 다양한 IT 기술과 결합하고 있습니다. 새로 시작하는 보안업체 펜타시큐리티의 연재 기고 '쉽게 만나는 IT'는 이같은 현실을 풀어서 설명해 드립니다.

제보, 보도자료는 contact@coindeskkorea.com
저작권자 © 코인데스크코리아 무단전재 및 재배포 금지