타깃 사건 이후 EMV 카드 도입 속도 증가...EMV는 공격 효율 낮춰
POS 공격 줄어든 만큼 늘어난 웹 애플리케이션 공격

[보안뉴스 문가용 기자] 미국의 도소매 업계와 환대산업에서 발생한 유출 사고가 한 달에 다섯 번 이하로 줄어들었다. 지난 2년 동안 집계된 수가 두 자릿수였던 걸 생각하면 꽤나 고무적인 일이다.


유출 사고가 줄어든 이유는 POS 시스템에 대한 강화가 이뤄졌기 때문이다. “기존 자기띠 방식에서 EMV나 칩 방식 카드들로 체제가 바뀐 것도 여기에 한몫 했다”고 보안 업체 비트사이트(BitSight)의 CTO인 스티븐 보이어(Stephen Boyer)는 설명한다.

“재미있는 건 타깃(Target) 사건이 발생한 이후 EMV 도입이 증가했다는 겁니다. 그리고 그 EMV 도입이 POS의 강화로 이어졌고요. 뼈아픈 사건이 어느 정도 약이 되고 있습니다.” 그렇지만 실제 통계를 냈을 때 수치가 내려갔으리라고는 예상치 못했다고 한다. “워낙 사고에 관한 소식이 자주 있었던 한 해였기 때문이죠.”

비트사이트는 2015년 1월부터 2017년 1월까지의 기간 동안 도소매 업계와 환대산업에서 발생한 사고들 중 대중들에게 공개된 유출 사고의 숫자를 집계했는데, 총 320건인 것으로 나타났다. 나눠서 보면 2015년 한 해 동안은 186건, 2016년 한 해 동안은 131건으로 줄어들었다. 2년 동안 한 달에 10건 이상 유출 사고가 대중에게 알려진 것이다.

POS 시스템은 지난 수년 동안 가장 많은 공격이 발생하는 곳 중 하나였다. 유출 사고의 40% POS 시스템으로부터 비롯되기도 했다. “그런데 2016년 말쯤부터는 한 달에 두세 건으로 확 줄어들었습니다.”

POS를 겨냥한 공격이 줄어들었다고 해서 사이버 범죄자들의 공격 행위 자체가 줄어든 건 아니다. POS 시스템을 통한 공격이 감소한 대신 웹 애플리케이션을 통한 공격이 증가했다. “2016년 초반부터 웹 애플리케이션을 겨냥한 공격이 급작스럽게 늘어나기 시작했어요. 2016년 1사분기 동안에는 POS 공격이 내려간 만큼 웹 애플리케이션 공격이 증가했습니다.”

이는 EMV 카드의 도입이 사이버 공격자들을 ‘포기’하게 만든 게 아니라 ‘우회’하게 만든 것이라는 뜻이 된다. “지금의 POS는 기존보다 공격이 어려워진 게 맞습니다. 공격자들은 다른 통로를 찾기 시작했고 그것이 웹 애플리케이션입니다. 한쪽이 줄어들면 다른 한쪽이 늘어나는 게 범죄의 일반적인 현상이죠.” 가트너의 분석가 아비바 리탄(Avivah Litan)의 설명이다.

칩 카드라고 해서 사이버 공격을 불가능하게 만드는 건 아니다. 다만 기존보다 공격 효율을 낮춘다. “EMV 카드의 칩에서 정보를 빼내려면 특수한 장비가 필요합니다. 공격자라고 해서 이러한 장비를 다 만들 줄 아는 건 아니죠. 암시장에서 구매해야 하는데, 특수 장비인 만큼 가격이 낮지도 않고요. 부담이 되긴 하죠.”

비트사이트의 보이어 역시 “웹 애플리케이션이 공격자 입장에서는 훨씬 효율적인 것이 맞다”고 동의한다. “회사들이 고객의 데이터를 보호하는 데에 있어 향상된 모습을 보이는 것도 사실입니다. 하지만 ‘동기부여’ 측면에서는 아직도 사이버 범죄자들이 훨씬 나은 모습을 보여요. 이들의 동기를 꺾지 않는 이상, 공격의 절대적 수치 자체가 줄어드는 일은 없을 겁니다. 방법만 계속 순환되며 바뀔 뿐이죠.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>