전 국민의 신용카드·개인정보 유출 사고
갑자기 인터넷 뉴스 포털에 “[단독] 전 국민 금융·개인 정보 털렸다”는 제목의 뉴스가 게시되기 시작했다. 어디 은행이나 카드사가 털렸나 싶었다. 하지만 은행이나 카드사가 직접 해킹을 당한것은 아니었다. 내용은 “신용카드 결제기와 POS, ATM 등이 해킹을 당해 신용카드가 결제될 때 마다 카드번호와 개인정보가 유출된 것으로 보인다”는 것이었다.
절대… “카드사가 털렸구나..”라고 생각하지 말길 바란다. 팩트가 명확하게 전달되지 않는 기사 제목과 내용만 보고 지레짐작하는 것은 결코 현명한 사람의 사고방식이 아니다. 게다가 대한민국의 기자들은 결코 선하거나 지혜로운 사람들이 아니다. 대한민국의 기자들이 아무런 이유없이 “기레기”라는 처참한 수준의 별명으로 불리는 것이 아님을 명심하자.
이 사건의 진실을 이해하기 위해서는 사전에 알아야 할 몇개의 상식이 있다.
먼저 신용카드 결제의 과정과 사용되는 기계를 이해하는 것이다.
신용카드를 결제할 때는 신용카드를 판매자에게 건네줘야 하고 판매자가 신용카드 결제기에 신용카드를 긁거나(마그네틱 방식 결제) 꼽아야(IC칩 방식 별제) 한다. 이 과정에서 카드의 마그네틱이나 IC칩에 저장된 신용카드번호를 결제단말기가 읽어 결제 중계자인 VAN사(신용카드 결제단말기를 판매한 회사)로 전송되고 다시 신용카드사로 전송되어 결제가 이루어진다. 보안관련 업계에서 10년 넘게 경험한 바에 따르면 이 신용카드 결제 과정에서 가장 취약한 지점 중 하나가 바로 “신용카드 결제기”다. 이 신용카드 결제기의 종류에는 POS와 일반 카드결제기가 있다.
POS단말기와 일반카드결제기는 아래 사진처럼 생겨먹은 것들이다.
왼쪽의 초록색 물건이 일반 신용카드 결제단말기다. 오른쪽의 커다란 물건이 신용카드 결제기능을 가진 POS단말기다. 일반 신용카드 결제단말기는 순수하게 입력된 금액을 신용카드사와 연계하여 결제해주는 기능만 가진 매우 단순한(?) 물건이지만 POS단말기는 재고관리, 멤버십 포인트관리, 매출관리 등 판매자가 필요로하는 매우 다양한 기능을 가진 판매관리시스템이다. 그리고 아울러 신용카드 결제기능도 함께 갖고 있는 경우가 대부분이다.
그리고 기사에서 등장하는 ATM기기는 은행의 현금자동입출금기로서 은행 및 신용카드의 여러 업무를 이용자 스스로 처리할 수 있는 단말기로서 대부분 은행에서 마련한 독립된 공간의 자동화기기 코너에 위치한다. 다만 여러 은행과 연계하여 독립적으로 현금서비스 및 현금인출업무를 대행하는 업체들이 편의점이나 길거리(?)에 설치하고 있기도 하다. (이런 ATM기기는 은행 소유가 아니다.)
팩트가 뭔지 도대체 알 수 없다.
이 사건의 본질을 이해하기 위해 두번째로 필요한 지식은 전국에 깔려있는 카드결제기나 POS에 대한 관리책임이 직접적으로 신용카드사에 있다고 보기는 어렵다는 점이다. 물론 이 사건으로 인해 책임공방이 벌어지면 카드사들에게도 일부 책임이 지워지긴 하겠지만 본질적으로는 카드사에게 전적으로 책임을 묻기는 어렵다는 것이다.
이 신용카드결제기나 POS단말기는 신용카드사로부터 업무를 위탁받아 공급하는 “VAN사”라 불리는 업체가 관리책임을 지게 되며 신용카드사는 단지 업무를 위탁한 위탁사에 대한 관리감독만 할 수 있다. 게다가 요즘 사용되는 POS단말기는 각종 프랜차이즈 업체, 예를 들면 SPC그룹의 해피포인트와 같은 멤버십포인트 회원사와 온라인 연결되어 관련 부가서비스를 제공할 수 있는 기능이 제공되고 있다.
중요한 것은 POS단말기가 해킹되어 개인정보가 유출되었다하여 무조건 신용카드사에만 책임을 물을 수는 없는 것이 POS시스템의 구조라는 것이 중요하다.
신용카드 결제단말기와 POS단말기의 보안이 취약한 이유
신용카드번호는 “정보통신망 이용촉진 및 개인정보보호에 관한 법률”에서 주민등록번호와 함께 반드시 암호화하여 저장하도록 지정한 7개의 중요한 개인정보 중 하나다. 하지만 신용카드번호가 일시적으로 암호화되지 않고 평문으로 처리되는 몇몇 구간이 있으니 그 중 하나가 바로 신용카드 결제단말기와 POS단말기다.
물리적인 접근이 쉽다.
결제단말기와 POS단말기는 상대적으로 다른 신용카드번호나 개인정보를 처리하는 시스템보다 물리적으로 누구나 쉽게 접근할 수 있는 위치에 있다. 즉 신용카드번호나 개인정보를 어떻게 하면 가로챌 수 있는지를 분석하기 위해 결제단말기와 POS단말기에 쉽게 접근할 수 있다는 의미다. (사실 보안 강화를 위해 가장 쉽고 간단한 방법이 시스템에 물리적으로 접근하지 못하게 하는 것이다.) 게다가 POS단말기는 멤버십에 가입한 이용자에게 마일리지 포인트등을 적립해주기 위해 여러 멤버십을 제공하는 기업의 개인정보처리시스템에 접속한다.
즉 해커가 신용카드결제단말기와 POS단말기의 기능을 분석하여 악성코드를 심어놓는다면 신용카드가 결제될 때마다 신용카드번호를 획득할 수 있고 더우기 POS단말기일 경우 포인트적립 등을 위해 멤버십을 제공해주는 기업의 개인정보처리시스템에 접속하는 경로가 열려 있기 때문에 보다 많은 정보를 해킹을 통해 취득할 수 있는 것이다.
게다가 신용카드결제 단말기와 POS단말기는 인터넷과 연결되어 있는 경우가 대부분이다. 인터넷이 완전하게 보급되기 전에는 비싼 요금을 내고 전용선을 이용하거나 전화선에 모뎀을 달아 사용했지만 현시점에서는 99% 인터넷회선이다. 다만 전송되는 신용카드정보 등 개인정보를 암호화하여 전송할 뿐이다. 문제는 단말기가 인터넷에 공개되어 있는 것과 다르지 않다는 것이다.
실제로 해외와 국내에서 이에대한 위험성이 알려진지는 매우 오래되었고 사고도 지속적으로 발생하고 있었다. 다만 결제단말기라는 특성상 한번에 많은 신용카드정보가 유출되지는 않기 때문에 이슈화가 되지 않았을 뿐 지속적으로 신용카드결제가 이루어질 때 마다 신용카드번호와 POS에 의해 처리되는 개인정보가 해커에게 넘어가고 있었을 가능성이 높다.
그리고 보도된 내용을 보면 해커가 갖고 있는 개인정보중에는 주민등록번호가 포함되어 있다고 한다. 신용카드결제단말기와 POS단말기, 그리고 뉴스에서 언급된 ATM 중에서 주민등록번호와 관계가 있는 것은 ATM이다. 은행 ATM에는 이용하는 서비스에 따라 주민등록번호를 입력하는 서비스가 있다.(하지만 빈도는 낮다.) 따라서 ATM에서 실행되는 어플리케이션의 구조를 안다면 입력된 주민등록번호를 탈취하는 것도 기술적으로 충분히 가능하다.
취약한 운영체제 사용 및 빈약한 단말기 보호대책
또한 요즘 보급률이 매우 높고 멤버쉽 등 개인정보처리가 많은 POS단말기는 대부분 Windows 운영체제가 탑재되어 있다. 또한 보안업데이트가 중지된 Windows XP, 7 등이 대부분이다. 게다가 인터넷에 연결되어 있고 별다른 네트워크 보안 및 단말보안을 위한 보호대책이 충분히 적용되어 있지 않다. 이는 해커들이 알려진 취약점을 통해 매우 쉽게 접근하고 침투할 수 있다는 의미다.
그나마 최근에는 정보보호에 관한 인식이 높아져 신용카드결제 단말기에 대한 시험인증기관인 한국기계전기전자시험연구원에서도 보안과 관련된 평가항목을 다수 넣고 있는 것으로 알고 있다.
실제로 몇 년전 신용카드결제단말기의 요구사항을 구현하기 위한 기술검토를 VAN사와 진행한 경험이 있다. 그 과정에서 알게된 사실은 신용카드 결제단말기가 신용카드번호를 일시적으로 저장하고 있으며 저장하는 신용카드번호에 대한 암호화와 암호화를 해제할 수 있는 암호키가 저장된 파일에 대한 보호대책 구현이 필요하다는 사실이었다. 그래서 암호키가 저장된 파일과 암호화된 신용카드번호를 저장하고 있는 파일에 대한 강력한 접근통제를 커널수준에서 구현하도록 계획을 수립했었다.
하지만…결국 보안강화의 발목을 잡는 것은 비용이었다. 수지타산이 맞지 않는 너무도 박한 예산으로 인해 결국 제휴를 포기하기에 이르렀다.
이처럼 신용카드결제단말기와 POS단말기의 보호수준은 금융사 내부 시스템에 비해 현저히 낮다. 이번 사건과 같이 관심의 대상으로 부각될만한 대형사고가 발생하지 않으면 정보보호 사각지대로 방치되어 정보보호예산을 투자하기 쉽지 않은 것이 현실이다.
정보보호관점에서 꼭 필요해 정성들여 작성한 기획안과 함께 정보보호예산 품의를 올리면 경영진에서 꼭 하는 말이 있다고 한다.
“그거 꼭 해야해 ?”