신용카드 비밀번호 뚫렸다…보안책 '유명무실'

입력 2014.04.10 13:14 수정 2014.04.10 14:33 윤정선 기자

포스단말기 해킹해 포인트카드 비밀번호로 신용카드 비밀번호 유추

금융당국 포스단말기 해킹 취약점 보안 표준안 마련, 금융회사 외면

10일 경찰청 사이버테러대응센터와 금융권에 따르면, 지난해 12월 A(35)씨는 경기도에 위치한 포스단말기 관리업체 서버를 해킹해 320만건의 카드 거래 정보를 빼냈다. 유출된 정보를 기초로 피해회원을 추산하면 약 20만5000명의 정보가 빠져나갔다. ⓒ데일리안

카드 가맹점에서 사용하는 포스(POS)단말기에 악성코드를 심어 카드정보는 물론 비밀번호까지 빼내 1억원이 넘는 돈을 챙긴 일당이 적발됐다.

최근 카드사 정보유출 이후 금융당국이 보안대책을 마련했음에도 이를 따르지 않은 금융회사는 속수무책일수 밖에 없었다.

이로 인해 보안책을 마련해도 이를 제대로 관리·감독하지 못한 금융당국에게 비난이 쏟아지는 이유다.

10일 경찰청 사이버테러대응센터와 금융권에 따르면, 지난해 12월 A(35)씨는 경기도에 위치한 포스단말기 관리업체 서버를 해킹해 320만건의 카드 거래 정보를 빼냈다. 유출된 정보를 토대로 피해회원을 추산하면 약 20만5000명의 정보에 해당한다.

A씨가 악성코드를 심어 침투한 포스단말기 서버에는 식당부터 커피전문점 등 다양한 업체의 정보가 저장돼 있었다. 특히 여기에는 가맹점에서 별도로 운용하는 포인트카드 비밀번호도 포함됐다.

A씨가 신용카드 비밀번호를 알아낼 수 있었던 것도 포인트카드 정보 때문이다. 일부 카드 이용자가 비밀번호 4자리를 포인트카드와 똑같이 쓰는 허점을 노렸다.

경찰 관계자는 "아직 A씨가 잡히지 않아 비밀번호를 어떻게 알아냈는지 정확하게 파악하지 못했다"면서도 "하지만 피해자 정보를 조사한 결과 신용카드와 포인트카드 비밀번호가 같았다"고 추정했다.

포스단말기에는 카드번호나 유효기간과 같은 결제정보가 남더라도 비밀번호는 다루지 않는다. 따라서 이번 사건은 포스단말기에서 신용카드 비밀번호가 '유출'된 게 아닌 포인트카드 비밀번호를 통해 '유추'한 범죄다.

경찰조사로 파악한 피해금액은 1억2000만원이다. 이중 1억원은 미국, 영국, 중국, 캄보디아 등 외국 현금인출기를 통해 빠져나갔다. 국내 포스단말기를 통해 새어나간 결제정보가 이미 해외로 흘러나갔다는 얘기다. 여기에는 국내 대부분의 카드사 회원이 포함돼 있는 것으로 알려졌다.

금융감독원 관계자는 "포스단말기 해킹은 카드사를 가리지 않고 피해가 발생한다"며 "이번 사건에는 대부분의 국내 카드사가 포함돼 있는 것으로 알고 있다"고 설명했다.

그는 이어 "포스단말기 업체가 보안규정을 제대로 지키지 않아 이 같은 사고가 발생한 것"이라고 지적했다.

원칙적으로 포스단말기에 카드정보를 저장해서는 안된다. 하지만 이같은 원칙을 어기고 카드정보와 고객정보를 포스단말기 서버에 저장해서 발생한 인재사고나 다름없다.

카드업계 관계자는 "포스단말기 보안문제는 오래전부터 우려가 됐던 얘기"라며 "과거 금융당국이 마련한 포스단말기 보안대책이 유명무실해 이 같은 사고가 계속해서 발생하는 것"이라고 지적했다.

금융당국은 포스단말기 해킹 등에 따른 카드복제나 금융정보가 유출된 사실을 알고 백신프로그램 소프트웨어인 '포스단말기 보안표준'을 마련했다. 하지만 결제프로그램과 백신프로그램이 충돌해 시스템 오류를 일으킨 전례 때문에 보안표준을 제대로 지키는 업체는 거의 없다.

금감원 관계자는 "포스단말기 보안표준은 사실상 폐기된 정책"이라고 인정하면서도 "앞으로 포스단말기 제조사나 밴 대리점과 같은 결제 정보를 다루는 업체도 집중적으로 관리할 예정"이라고 해명했다.

#카드사 개인정보 유출

#경찰청 사이버테러대응센터 포인트카드 비밀번호

#포스단말기 서버 해킹

#포스단말기 보안표준