국내 유통업계 보안 체계 심각한 수준...법제도 개선 필요

유통과정에서 결재수단을 노린 해킹범죄가 증가하고 있지만 관련 법제도가 미비해 단속과 처벌이 쉽지 않아 신속한 대책마련이 요구되고 있다.

최근 일어난 해킹 범죄를 살펴보면 실력의 과시나 정보수집 차원을 넘어 금전을 노리는 방향으로 바뀌고 있다. 그리고 상대적으로 보안에 취약한 영세 기업이나 자영업자 등, 쉽게 해결할 수 없는 인프라적인 보안 취약점을 노리는 범죄가 늘고 있는 것으로 파악되고 있다.

 

그러나 관계자들은 이런 해킹 범죄를 미리 막기란 쉽지 않다고 이야기한다. 일단 보안 취약성에 대한 점검이나 단속에 대한 법적 규정이 미비해 예방 효과가 없는데다가 사건이 발생하더라도 명확한 근거 없이 수사를 진행하는 것도 쉽지 않기 때문이다.

 

해킹 무서워 신용카드도 쓰는 것도 두려워!

금전을 노리는 해킹 범죄의 증가로, 신용카드 이용자들은 신용카드 사용내역을 꼼꼼히 체크해야할 것으로 보인다. 카드 단말기를 해킹해 신용카드를 무단 이용하는 범죄도 등장했기 때문이다.

최근 경찰은 8월과 9월 사이에 프렌차이즈 음식점의 신용카드 결제 정보를 해킹한 일당을 추적하고 있다고 전했다. 이들 범죄 일당은 카드 겸용 포스 단말기에 악성코드를 심어 신용카드 정보를 해외로 빼돌리고 이 빼돌린 신용카드 정보를 바탕으로 복제 카드를 만들어 사용한 것으로 파악되고 있다. 이들이 빼돌린 신용카드 정보는 수천 건에 이르는 것으로 파악되고 있으며 이 정보를 이용해 만든 복제카드로 결제한 금액은 8천만 원에 이르는 것으로 전해지고 있다.

결국 이 사건은 매장에 있는 카드 겸용 포스 단말기의 보안 취약으로 인해 발생했다고 볼 수 있다. 기존 신용카드 단말기는 신용카드 정보만 주고받도록 돼 있지만 카드 겸용 포스 단말기는 매장의 매출과 재고 등 매장 관리가 가능한 시스템이다. 따라서 하나의 작은 PC가 붙어있는 구조로 돼 있으며 프랜차이즈 매장의 경우에는 네트워크 접속을 통해 본점과 통신도 가능하도록 돼 있다.

따라서 보안업계의 전문가들은 사전에 바이러스 백신이나 방화벽 등 보안 솔루션을 갖추고 있었다면 미리 막을 수도 있었다고 이야기 한다. 그러나 현실적으로 이런 보안 솔루션을 영세 자영업자들이 갖추기란 쉽지 않다. 포스 시스템 제공업체에서 보안 시스템을 갖춰야할 의무가 없는데다가, 영세 자영업자 스스로 보안 시스템을 갖추기에는 적지 않은 비용과 노력이 필요하기 때문이다.

금융감독원의 한 관계자는 “지난해 감독원 내 비금융권 담당부서에서 국내 카드사들에게 가맹점에 대한 보안 관리 감독에 대한 지침을 내렸지만 잘 이행되지 않고 있다”면서 “카드사들도 가맹점에 대한 단속을 할 수 없을 뿐 아니라, 감독원 역시 포스 시스템 제공사까지 단속할 법적 규정이 없기 때문”이라고 말한다.

해킹 때문에 인터넷 쇼핑몰 결제도 무서워!

얼마 전 중국해커를 동원해 인터넷쇼핑몰을 해킹한 후 결제 계좌번호를 바꿔치기해 구매자의 돈을 빼낸 일당이 검거됐다. 경찰철 사이버테러대응센터는 9일 중국인 해커를 동원해 219개의 인터넷쇼핑몰을 해킹한 후 결제 계좌를 바꿔치기 하는 수법으로 구매자가 입금한 상품대금을 가로챈 장 모씨(40)를 구속하고 달아난 한국인 용 모씨와 중국인 해커를 수배했다고 밝혔다.

장 씨는 용 씨에게 “A 업체 인터넷쇼핑몰 대행 서비스를 이용한 쇼핑몰 사이트들에서 심각한 보안 취약점이 있다”는 이야기를 듣고 지난 3월 중국으로 건너가 해커를 동원해 범행을 가한 것으로 알려지고 있다. 이들이 해킹한 것으로 파악되는 인터넷 쇼핑몰은 219개로 구매 금액을 입금하는 이체계좌를 자신들의 대포통장 계좌번호로 바꿔 500여 명에게서 2천5백만 원을 빼낸 것으로 파악되고 있다.

경찰에 따르면 이들은 쇼핑몰의 관리가 허술한 주말에 주로 범행을 했으며 대포통장이 쇼핑몰이나 경찰에 발각돼 정지되기 전에 돈을 인출할 수 있도록 돈이 입금되면 다른 대포통장으로 옮기는 치밀함을 보인 것으로 드러났다.

백화점에서 카드결제도 위험?

2007년 국내 유명백화점을 대상으로 진행했던 무선해킹테스트에서 무선암호화의 취약성으로 인해 데이터가 쉽게 해킹할 수 있다는 사례가 발표돼 화제가 된바 있다. 백화점에서 이용하고 있는 무선POS 단말기와 무선랜AP의 암호화가 보안에 취약해 카드로 결재할 경우 카드정보와 고객정보가 해킹으로 인해 노출될 수 있다는 가능성을 보인 것.

이에 따라 정부는 2007년부터 백화점을 비롯해 대형유통매장에서 무선랜의 암호화를 강화할 것을 권고했다. 또한 이들 업체들이 제대로 시행하고 있는지를 파악하기 위해 이행 계획을 제출하라고 하기도 했다. 하지만 강제 규정의 효력이 약해 아직도 보안은 취약한 상황이다.

백화점들이 무선POS 보안강화에 주저하는 이유는 이미 구축된 무선POS 시스템의 보안 수준을 높이기 위해서는 POS무선단말기와 무선AP를 모두 교체해야하기 때문이다. 백화점에서 이용하고 있는 POS무선단말기는 몇 십에서 백만 원을 호가하며 백화점에 보급된 대수만 해도 몇 백대가 넘어 비용이 만만치 않다. 따라서 일부 백화점들에서 간단한 암호화만 유지하는 등 별다른 대책을 찾지 못하고 있다.

이 같이 유통과정 중 결제수단을 노린 해킹과 위협이 증가하고 있지만, 관리와 단속, 처벌이 쉽지 않고 해킹에 대한 사실을 공개할 의무가 없기 때문에 문제가 더욱 확산되고 있다. 게다가 영세 자영업자들의 경우, 보안 교육과 보안 지원 대책이 없어 정부차원의 시급한 대책이 필요해 보인다.

보안 업계의 한 관계자는 “점차 융합IT를 이용하고 있는 분야에서 여러 해킹 사고가 발생하고 있지만 법제도 적인 문제와 함께 보안 교육이 잘 이뤄지지 않아 문제가 되고 있다”면서 “현재 방통위나 일부 기관에서 IT보안에 대한 문제를 다루고 있지만 앞으로는 전 분야에서 IT보안이 거론되야 할 것”이라고 말했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>