최근 불거진 대규모 개인정보유출 사고는 카드 단말기 관리 소홀이라는 분석이 나왔다. 예전 카드 단말기는 해킹에 취약한데도 불구하고 보안 조치를 적극적으로 취하지 않았기 때문이다. 여전히 보안성이 취약한 마그네틱 단말기를 사용하고 있는 가맹점이 있어 이에 대한 조치가 시급하다는 지적이다.
18일 금융권에 따르면 최근 문제가 된 대규모 개인정보 유출 사고는 가맹점의 카드 단말기 관리 소홀로 나타났다.
2018년 이전 마그네틱 카드 단말기는 PC 기반으로 해킹에 취약하기 때문이다. 가맹점주가 포스 단말기로 결제뿐만 아니라 매출 관리 등 다른 업무를 하면서 악성코드에 쉽게 노출된다.
경찰청의 의뢰로 악성코드를 분석한 보안업체 이스트시큐리티 관계자는 “분석 결과, 악성코드가 포스 프로그램처럼 위장하고 있었던 게 확인됐다”며 “공급망 공격으로 악성코드가 유포된 것으로 추정한다”고 말했다. 공급망 공격은 공급망에 침투해 사용자에게 전달되는 소프트웨어(SW)나 하드웨어(HW)를 변조하는 형태의 공격을 말한다.
이러한 악성코드는 개인 PC에서도 흔히 사용하는 알약 등 백신 프로그램으로 관리가 가능한 부분이다. 보안업체 관계자는 “백신 프로그램으로 탐지, 치료가 가능하다”고 말했다.
문제는 가맹점주들이 포스 단말기의 보안 관리에 소홀한 경향이 있다는 것이다. 보안업체 관계자는 “가맹점에서 포스 단말기에 백신 프로그램을 설치하는 경우가 드물다”며 “백신이 돌아가면 단말기 속도가 느려질 수 있고, 비용 부담도 있다”고 말했다.
가맹점 카드 단말기를 관리하는 밴사도 어쩔 수 없다는 입장이다. 한 밴사 관계자는 “2012년도에도 정보 유출이 문제가 돼서 가맹점주들에게 보안프로그램을 설치하도록 안내했지만, 가맹점주들이 스스로 하지 않는 이상 강제할 수 있는 법적 근거가 없다”고 말했다.
카드업계는 2018년 이후 국내 가맹점의 카드 단말기가 IC 단말기로 교체되면서 현재는 해킹 우려가 낮다고 설명한다.
하지만 IC 단말기 교체가 100% 완료된 것은 아니다. 주유소 등 일부 가맹점에서는 여전히 예전 단말기를 사용하고 있다. 마그네틱 단말기를 사용하는 전국의 셀프주유소는 지난 4월 기준 800여곳에 달한다.
더욱이 IC 단말기의 보안성이 우수하다고 해도 해킹 수법이 날이 갈수록 발전하고 있어 안심할 수만은 없는 상황이다. 김승주 고려대 정보보호학부 교수는 “IC 단말기가 예전 단말기에 비해 보안성이 더 나아졌다는 것이고, 교체됐다고 하더라도 문제의 소지가 있을 수 있다”고 우려했다.
이에 단말기의 보안을 강화하기 위한 조치가 필요하다는 지적이 나오고 있다. 우리나라는 단말기 설계에 대한 기준만 있고, 보안에 대한 기준은 없는 상황이다.
해외의 경우, 비자·마스터카드·아메리칸 익스프레스·디스커버·JCB 등 국제 카드브랜드사는 카드산업의 데이터 보안 표준(PCI DSS)을 수립했다. PCI DSS는 고객정보 유출에 대비한 국제 신용카드 보안기준으로, 신용카드 시스템 참여자는 이에 준하는 보안기준을 수립해야 한다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지