신용카드 마그네틱 정보 암호화한 IC단말기로 보안 강화
[보안뉴스 김태형] 최근 신용카드 결제용 단말기를 해킹해 빼낸 고객정보로 수백장의 복제카드를 만들어 거액을 챙긴 일당이 경찰에 검거됐다. 이들은 지난 3월 인천 등 수도권 일대 음식점 3곳에 있는 신용카드 결제용 POS(Point Of Sales) 단말기를 해킹, 10만여건의 신용카드 마그네틱 정보를 빼돌렸고 이 정보를 이용해 복제카드를 만든 뒤, 지난 7월 경기, 충북, 강원의 금은방 8곳에서 1,252만원 상당의 금품을 사들였다.

이 외에도 키오스크(POS/CAT/ATM 등) 단말에서의 트래커(Tracker), 덱스터(Dexter), v스키머(vSkimmer, 또는 Vskimm), 알리나(Alina) 등 다양한 악성코드가 지속적으로 출현하고 있으며 이들 악성코드 역시 키오스크 단말 내 카드정보 및 기밀데이터를 갈취하고 있어 보안위협이 증가하고 있다.

 
이에 대응하기 위해 국내 금융당국에서도 카드번호 및 비밀번호 암호화 등을 주요 내용으로 하는 POS 단말기에 대한 보안표준을 개정하고, EMV(IC관련기기 국제기술 표준), KTC(한국기계전기전자시험연구원)와 같은 단말기 적합인증을 의무화하는 등 ‘신용카드 단말기 정보보호 기술기준’ 제정으로 단말기 보안을 강화하고 있다.

이와 함께 금융관련 사업자들은 정보통신망법과 개인정보보호법 준수는 물론, 신용카드 회사들과 신용카드 거래가 많은 프랜차이즈 업체들은 여신금융협회가 제정한 POS 단말 표준도 준수해야 한다. 이를 어기면 VAN사와 가맹점은 5천만원 이하의 과징금이 부과된다.

또한 여신전문금융업법상 기존 POS 단말기를 사용하던 가맹점들은 3년 안에 신규 IC 단말기로 교체해야 하지만, 영세가맹점들을 위한 무상교체 작업의 대상자 선정이 늦어지면서 신규 단말기 공급이 제대로 이뤄지지 못하고 있는 상황이다. 신규 단말기의 보안인증을 받는 시간도 많이 소요되고 있어 보급이 늦어지고 있다.

상황이 이렇다 보니, 한 식당에서 두 번씩이나 복제 피해를 입은 사례도 있고 특히 배달 업체들이 많이 사용하는 무선 단말기 개발이 늦어져 가맹점들이 피해를 입고 있다. 이에 대해 한 단말기 업체 관계자는 “밴(VAN)사마다 인증 방식을 달리하고 있는데 단말기 인증 방식을 택한 업체는 단말기 부족 현상을 겪을 수 있다”고 말했다.

이러한 상황에서 여신금융협회가 제정한 ‘POS 단말 표준’을 준수하는 POS 보안 솔루션이 주목받고 있다. 특히, 안랩은 POS 단말기와 같이 특수한 목적을 가진 단말기 전용 보안솔루션 ‘안랩EPS’를 공급하고 있다. 이는 정해진 프로그램만 사용하면서도 안정적으로 운영돼야 하는 자동화기기, 제어용 시스템 등에 최적화한 솔루션이다. 또 운영 시스템에 필수인 프로그램 실행, 네트워크 연결, 시스템 자원만 사용할 수 있도록 하고, 솔루션 운영과 관계없는 프로그램의 실행을 차단, 악성코드 유입과 활동을 억제할 수 있다.

그리고 알파비트의 ‘알파 포스가드’는 단말기 인증을 받기 위해서 필수인 제품이며, 빠른 시간에 KTC 인증을 획득할 수 있다. 또한 엔터프라이즈시장 환경에 맞게 다양한 국내/국외 표준 암호알고리즘을 지원하며, 멀티VAN사를 이용하는 엔터프라이즈고객은 Multi-Van 지원하는 암/복호화 모듈이 필요한데, 알파포스가드를 도입하면 쉽게 해결할 수 있다.

또 강력한 암호 알고리즘을 통해 단말기에서 읽혀지는 신용카드 정보 및 민감정보 등 금융정보 유출을 원천 차단하고, 스마트한 환경에서 빠르고 안전한 결제 환경을 제공하며 다양한 단말(Mobile PDA, CAT, POS, Multi-Reader, IOS, Android 등)환경을 지원하고 함으로 여신금융협회 및 금융감독원의 보안 규제를 완벽하게 준수하는 솔루션이다.

이와 같은 POS 단말기 보안 위협을 막기 위해서는 고객의 신용카드 마그네틱 정보를 암호화한 IC단말기의 설치 확대다. IC 단말기는 가맹점-VAN사-카드사에 전달하는 정보를 모두 암호화하기 때문에 해킹이 이뤄지더라도 암호화된 정보를 해독하기 전에 카드복제 등 2차 범죄에 사용하지 못하기 때문.

금융위는 지난해 기술기준을 정해 신규 IC 단말기 보안인증을 여신금융협회에 위임했고 이 신규 단말기가 보급되면 POS 해킹과 복제카드 범죄를 예방할 수 있을 것으로 보고 있다. 하지만 여신협회 인증을 통과해 새로 설치되는 IC 단말기의 부족 문제 해결이 시급하다.

<여신금융협회 POS단말기 보안 표준 주요 내용>
가. 보안기능 시험요구 사항
1. 민감한 신용카드 정보보호 : 민감한 신용카드 정보의 기밀성은 전송구간 전체에서 유지하고 저장 및 출력되지 않아야 함.
2. 암호 연산 및 암호키 생성/분배 : 112비트 이상의 암호 알고리즘 안전성이 검증된 암호키 생성 및 분배 방식이 사용되어야 함.
3.암호키 접근 통제 및 파기 : 암호키에 대한 비인가자 차단 및 키 관련 사용정보는 즉시 파기되어야 함.
4. 신용카드번호 : 마스킹 또는 암호화 된 번호만을 저장/출력하고 저장 기간이 만료된 신용카드 번호는 단말기 내에서 삭제되어야 함.
5. 자체 보호 : 카드리더기는 보안기능 및 저장 데이터에 대한 무결성 점검을 수행하며 검증 실패시 관리자에게 자동으로 통보해야 함.

나. 여신전문금융업법 시행령 일부개정령안(금융위원회 공고 2015-69호)
제7조의6(신용카드 단말기 등록요건 등) 법 제72조의 제3항에 따라 여신전문금융협회의 장은 부가통신사업자 또는 신용카드가맹점이 등록한 신용카드 단말기에 등록번호를 부여할 수 있다.

2015년 7월 21일부터 시행
신규가맹점 및 신규 POS는 POS단말기 보안표준을 준수한 제품에 한해 설치할 수 있음. 기존 POS는 3년 유예기간을 두고 있으며 3년 내에 교체해야 함.

다. (위반시 제재)부가통신사업자 및 가맹점에 행정벌 부과 기능
·부가통신업자 - 전기통신서비스를 제공하는 단말기의 기술기준 부적합 및 미등록 시 5천만원 이하 과징금(여전법 제58조)
·가맹점 - 미등록 단말기 설치 이용시 500만원 이하 과태료(여전법 제72조)

여신금융전문업법 제58조에 의하면 부가통신사업자는 최대 5천만원 이하의 과징금이 부과되며, 가맹점은 여신금융전문업법 제72조에 의하 5백만원 이하의 과태료가 부과된다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>