한국어
English
다만, 카드업계에서는 이번 해킹 사건으로 일부 결제단말기가 다운되는 피해는 발생했지만 민감한 카드 결제정보의 유출 가능성은 작다며 추가 피해 발생이 없을 것으로 전망하고 있다.
16일 관련 업계에 따르면 한국인터넷진흥원(KISA)은 국내 결제단말기 업체 22곳에서 사이버 침해사고 신고를 접수하고 원인을 분석하고 있다.
이번에 해킹에 노출된 결제단말기는 포스(POS) 단말기로 일반적으로 신용카드가맹점에 설치돼 판매상품조회, 매출조회 등 다양한 판매 시점 관리기능과 신용카드에 의한 거래 발생 건을 신용카드업체로부터 거래승인을 받기 위해 거래승인 기능을 제공하는 단말 장치이다.
포스 단말기는 PC 또는 전용 하드웨어로 구성된 단말기 본체와 카드리더기로 나뉘고 단말기 본체와 카드리더기는 유선으로 연결되거나 카드리더기가 POS 단말기 본체에 내장될 수 있다.
업계 관계자는 "쉽게 표현하자면 이번에 해킹의 타깃은 카드리더기가 아닌 구형 운영체제를 사용하고 있는 PC"라며 "해킹의 목적 역시 카드정보를 빼기 위한 시도가 아닌 구형 운영체제를 쓰는 PC를 '좀비 PC'로 이용하기 위한 해킹시도 중 일부 포스 단말기 본체가 악성 코드에 감염된 것"이라고 설명했다.
최근 들어 가상화폐가 이슈가 되면서 구형 PC를 해킹해 가상화폐를 채굴하기 위한 해킹시도 과정에서 백신 프로그램을 쓰지 않거나 구형 운영체제를 쓰는 포스 단말기 본체가 악성 코드에 감염된 것이라는 분석이다.
KISA에서 이번에 채증한 악성 코드도 원격제어, 가상통화 채굴 등과 관련된 기능이 있는 것으로 나타났다.
업계 관계자는 "카드 결제정보는 신용카드 단말기 정보보호 기술기준에 따라 까다롭게 관리되고 있어서 포스 단말기의 본체만 해킹해서는 카드 결제정보를 빼내기 어렵다"고 말했다.
실제 여신금융협회가 여신전문금융업법에 따라 제정한 '신용카드 단말기 정보보호 기술기준'에 따르면 외부 유출 시 신용카드 회원에게 금전적 손실을 발생시킬 수 있는 중요정보인 신용카드 번호, 유효기한, 신용카드 유효성 검증 값 등은 저장 및 출력이 금지돼 있다.
이처럼 민감한 신용카드 정보는 신용카드 거래승인 시점 이후 카드리더기 내부 메모리에서 완전히 삭제돼야 하며 암호화된 경우에도 카드리더기 내부 메모리에서 완전히 삭제돼야 한다.
따라서 포스 단말기 본체에는 카드 결제와 관련된 정보가 남아 있지 않기 때문에 해킹 시에도 빼낼 정보 자체가 본체에 존재하지 않는다.
이에 금융당국 역시 이번 해킹 관련해 카드정보 유출 등의 피해 사항은 집계되지 않고 있다고 밝혔다.
금융감독원 고위 관계자는 "카드단말기 해킹 사건 후 결제정보 유출에 따른 피해사례는 아직 접수되지 않고 있다"며 "만약, 해킹에 의한 피해가 발생하면 소비자 피해 전부를 카드사가 보전해 줘야 하는 만큼 철저하게 모니터링 할 계획"이라고 말했다.
대형 카드사 관계자 역시 "해킹에 의한 소비자 피해는 카드사의 책임이기 때문에 업계의 관심도 큰 상황이지만 카드정보의 유출 가능성은 낮은 것으로 보고 있다"며 "포스 단말기의 사용자들은 신형 단말기로 교체하거나 PC 본체에 백신 프로그램을 설치하면 해킹 피해를 막을 수 있을 것"이라고 조언했다.
한편, 금융위원회는 카드복제와 정보유출 방지 차원에서 IC 단말기 사용을 의무화하고 이달 20일까지 IC 카드단말기로 전환을 거부한 신용카드가맹점은 신용카드 거래를 차단할 예정이다.
shjang@yna.co.kr
(끝)
관련기사
장순환 기자
shjang@yna.co.kr