결제 시스템의 ‘환절기’ 지속되는 동안 비슷한 사고 이어질 듯

[보안뉴스 문가용] 미국 소매업계가 난리다. 폭탄 돌리기라도 하듯 매주 돌아가면서 펑펑 보안사고가 터지고 있는데 이번엔 사무용품 거인인 스테이플즈 차례라고 여러 외신들에서 전달하고 있다. 스테이플즈가 심상치 않다는 사실은 여러 은행에서 의심스러운 행동이 발견된다는 보고가 잇따르면서 수면으로 떠올랐다. 신용카드의 사용 흔적이 남은 지역이 다양했던 것.

최근 데이터 유출 사고보다 스테이플즈의 경우는 규모가 조금 작은 것으로 아직까지는 드러났다. 처음에는 펜실베이니아 주의 7개 매장, 뉴욕의 3개 매장, 뉴저지의 한 개 매장이 해킹당한 것으로 보고된 것. 아직 정보가 유출된 카드 개수에 대해서는 별다른 보도 내용이 없는 상태다.

자세하게 밝혀지지는 않았지만 스테이플즈의 카드 단말기에서 유출된 카드 정보가 정작 스테이플즈의 상품을 구매하는 데에 사용된 흔적이 없기 때문에, 해커들은 이 정보를 가지고 가짜 신용카드를 만드는 데 사용한 것으로 전문가들은 보고 있다.

스테이플즈는 어제 대변인을 통해 “고객의 정보보호에 심혈을 기울이고 있으며 지금 일어난 일들을 최소한의 피해로 마무리 짓기 위해 노력하고 있”다고 강조했으며 “고객들에게는 이 일에 대한 그 어떠한 책임도 없”다고 강조했다. 스테이플즈의 이번 사건이 규모는 작아 보일지 모르겠으나 이전에 있었던 각종 유출사고들과는 본질의 측면에서 그 맥락을 같이 한다.

지난 수개월 간 대형 유출사고로 각종 뉴스에 오르내린 기업들로는 홈데포, 케이마트, 수퍼밸류, UPS 스토어즈, 데어리퀸, 굿윌 인더스트리 등이 있다. 이 기업들은 제3자가 포착할 때까지 유출이 일어나고 있다는 사실 자체도 모르고 있었다. 미국 국토방위부와 미국 비밀경호국은 이미 몇 개월 전 백오프 멀웨어에 대해 경고한 바 있는데 스테이플즈 역시 이에 당한 것으로 보인다.

미국의 지불 시장이 EMV로 바뀐다면 해커들이 훔쳐낸 정보를 가지고도 신용카드를 쉽게 사용할 수 없게 될 것이다. 공격의 결심이 단단히 서지 않는 한 해커로서도 카드정보를 노리는 게 쉽지 않은 일이 된다. “하지만 이런 의미 있는 변화가 생기기까지는 적어도 2~3년은 흘러야 할 것입니다.”

차기 지불 시스템의 주자는 EMV 뿐이 아니다. 토큰화 기술, P2P 암호화, PIN의 필수 사용 등 변화를 꾀하며 시장에 등장한 신기술이 점점 늘어나고 있다. “왜 하필 올해에 POS 시스템에 대한 공격이 대폭 늘어났는지는 잘 모르겠습니다. 이제는 티핑포인트를 지난 시점이라고 봅니다. 즉 큰 변화가 다가올 것이라는 얘기죠.” PCI 상담가인 제임스 휴글렛(James Huguelet)의 설명이다.

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>