• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

소규모 사업체를 위한 카드정보 유출사고 방지 가이드 2014.07.17

작으면 힘도 없고 돈도 없어 보안에 힘쓰기 어려울 수 있어

작기 때문에 오히려 유연하고 변화 수용에 용이해


[보안뉴스 문가용] 식당이나 매장에 들어가 계산을 할 때 노트북이나 데스크톱에 연결된 카드 리더기에 내 카드를 손수 긁어주는 직원이나 사장님을 볼 때마다 소름이 좍 끼친다. 카드 리더기와 컴퓨터 시스템, 그리고 그 시스템과 연결된 네트워크 사이사이에 있는 수많은 전선들, 그 전선들은 과연 믿을 만한가? 아닌 경우가 훨씬 많을 것이다.


지불카드에 얽힌 개인정보가 여러 차례 유출되는 사고를 올해만 수차례 겪으면서 위와 같은 장면을 볼 때마다 머릿속에 다음 질문들이 후다닥 떠오른다.

- 혹시 내 카드 정보가 암호화 과정 없이 어디론가 전달되는 건 아닐까?

- 저 카드를 읽어내는 소프트웨어는 최신 패치가 제대로 된 것일까?

- 컴퓨터의 OS는 어떨까? 최신 업데이트가 적용된 걸까?

- 저 컴퓨터에는 최소한의 백신 프로그램이 깔려 있긴 할까? 최신버전이긴 할까?

- 혹시 이 매장은 IT 관리를 아웃소싱하나? 그렇다면 누군가 여기를 원격에서 조정하고 있다는 것일까?

- 저 컴퓨터로 이메일 확인도 하고 인터넷 서핑도 하고 막 그러나?


내가 무서운 건 누가 내 카드 정보를 훔쳐가는 게 아니다. 왜냐하면 이미 누군가 나의 개인정보를 상당히 가져갔을 테니까 말이다. 걱정되는 건 이 작은 매장이다. 작은 매장들은 카드 결제 시스템을 거부할 정도로 힘을 가진 것도 아니고 사건이 일어났을 때 수사를 진행할 만큼 부자인 것도 아니기 때문이다.


하지만 작은 것에는 작기 때문에 생기는 강점이 있다. 일단 작기 때문에 공격을 받을 확률도 그만큼 적다. 게다가 단말기나 백엔드 시스템의 규모가 굉장히 작기 때문에 대단위 보안장비나 복잡한 보안 시스템이 필요하지 않다. 그렇기 때문에 이동성이 좋다. 얼마든지 새로운 플랫폼으로 옮길 수 있고 아웃소싱 업체나 인터넷 제공 업체도 유연하게 바꿀 수 있다. 더 안전하다고 소문난 곳으로 발빠르게 이동할 수 있다는 것이다.


1. 소규모 사업장에서 카드 정보 유출을 더 꼼꼼하게 막을 수 있는 방법

- PCI(payment card industry : 지불카드 산업) 환경을 사업장 내에서는 없애거나 최대한 작게 줄인다.

- 카드 정보를 처리하는 데에 있어 모바일 기기나 태블릿 PC를 활용하라. 보통 데스크톱이나 노트북의 시스템보다 이런 모바일 기기의 OS가 훨씬 안전하다. 특히 탈옥하지 않은 아이패드나 아이폰의 보안성은 정말로 뛰어나다.

- 카드 거래에 유선 혹은 무선 인터넷 회선보다 무선전화 네트워크를 활용하라. 이렇게 함으로써 사업장에서나 고객들이 사용하는 LAN/WiFi 네트워크와 아예 분리시킬 수 있다.


2. 보다 재래식의 POS 시스템을 활용한다면

- POS 시스템을 정말 활용할 필요가 있는지 진지하게 고민해보라. 이미 수많은 해커들이 POS 시스템을 뚫어왔고 앞으로도 그럴 것이다. 이 리스크를 감내할 만큼 POS 시스템이 사업장에 이익이 되는지 깊이 생각해봐야 한다.

- 기존의 전화기 시스템(POTS)으로 연결된 독립 POS PiN 패드를 사용한다. 이렇게 하면 카드 거래 시 컴퓨터와 네트워크를 아예 배제시키는 것이 가능하다. 그러나 이는 장기 플랜까지는 아니다. 오래된 POTS는 전화 회사에서 없애기 때문이다.

- 시스템은 항상 최신 버전으로 업데이트하라. 그리고 불필요한 서비스가 설치되었는지 검사하고 지우라. 백신으로 꾸준하게 검사하는 건 필수 중의 필수.

- 아웃소싱을 할 땐 인터넷을 통해 원격으로 조정하는 방식을 취하는지 아닌지 꼼꼼하게 검토하고 그렇다면 거래하지 말라.


3. 모든 시스템에서

- 물리 보안환경을 꼼꼼하게 살핀다. 기기 하나를 비슷한 걸로 슬쩍 바꿔놓는 것만으로도 엄청난 공격이 들어올 수 있다.

- PCI 환경에 속한 시스템들과 인터넷을 연결하지 말라. 다만 카드 거래나 시스템 패치에 사용되는 부분만 최소한으로 연결을 유지한다.

- 그러므로 PCI 환경에 속한 시스템들 중 카드 거래나 시스템 패치를 위해 인터넷과 연결한 시스템은 독립적으로 운영한다.

- 온라인 거래가 꼭 필요할 때는 PCI DSS 컴플라이언트 제공자를 사용할 것을 권한다. 고객에게 거래 내용이 투명하게 공개되면 정보 유출 시 발생하는 리스크와 비용이 서비스 제공업자에게 넘어가게 되기 때문이다.


이런 지침들을 따른다고 해서 문제가 마법처럼 사라지지는 않는다. 이보다 더 첨단의 방법을 써서 보안을 강화하는 회사들도 해킹에 무릎 꿇은 사례는 수도 없이 많다. 하지만 리스크 자체는 분명 크게 줄어들 것이며, 리스크가 줄어들면 보안관련 지출이 줄어들어 장기적인 이익이 될 것임은 분명하다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>