흔한 백신도 없으니···카드단말기서 개인정보 '탈탈'
2020-06-19 05:00
보안 취약한 마그네틱 단말기 사용 원인
가맹점주, 비용 부담에 관리 소홀도 문제
가맹점주, 비용 부담에 관리 소홀도 문제
최근 불거진 대규모 개인정보유출 사고는 카드 단말기 관리 소홀이라는 분석이 나왔다. 예전 카드 단말기는 해킹에 취약한데도 불구하고 보안 조치를 적극적으로 취하지 않았기 때문이다. 여전히 보안성이 취약한 마그네틱 단말기를 사용하고 있는 가맹점이 있어 이에 대한 조치가 시급하다는 지적이다.
18일 금융권에 따르면 최근 문제가 된 대규모 개인정보 유출 사고는 가맹점의 카드 단말기 관리 소홀로 나타났다.
2018년 이전 마그네틱 카드 단말기는 PC 기반으로 해킹에 취약하기 때문이다. 가맹점주가 포스 단말기로 결제뿐만 아니라 매출 관리 등 다른 업무를 하면서 악성코드에 쉽게 노출된다.
이러한 악성코드는 개인 PC에서도 흔히 사용하는 알약 등 백신 프로그램으로 관리가 가능한 부분이다. 보안업체 관계자는 “백신 프로그램으로 탐지, 치료가 가능하다”고 말했다.
문제는 가맹점주들이 포스 단말기의 보안 관리에 소홀한 경향이 있다는 것이다. 보안업체 관계자는 “가맹점에서 포스 단말기에 백신 프로그램을 설치하는 경우가 드물다”며 “백신이 돌아가면 단말기 속도가 느려질 수 있고, 비용 부담도 있다”고 말했다.
카드업계는 2018년 이후 국내 가맹점의 카드 단말기가 IC 단말기로 교체되면서 현재는 해킹 우려가 낮다고 설명한다.
하지만 IC 단말기 교체가 100% 완료된 것은 아니다. 주유소 등 일부 가맹점에서는 여전히 예전 단말기를 사용하고 있다. 마그네틱 단말기를 사용하는 전국의 셀프주유소는 지난 4월 기준 800여곳에 달한다.
더욱이 IC 단말기의 보안성이 우수하다고 해도 해킹 수법이 날이 갈수록 발전하고 있어 안심할 수만은 없는 상황이다. 김승주 고려대 정보보호학부 교수는 “IC 단말기가 예전 단말기에 비해 보안성이 더 나아졌다는 것이고, 교체됐다고 하더라도 문제의 소지가 있을 수 있다”고 우려했다.
이에 단말기의 보안을 강화하기 위한 조치가 필요하다는 지적이 나오고 있다. 우리나라는 단말기 설계에 대한 기준만 있고, 보안에 대한 기준은 없는 상황이다.
해외의 경우, 비자·마스터카드·아메리칸 익스프레스·디스커버·JCB 등 국제 카드브랜드사는 카드산업의 데이터 보안 표준(PCI DSS)을 수립했다. PCI DSS는 고객정보 유출에 대비한 국제 신용카드 보안기준으로, 신용카드 시스템 참여자는 이에 준하는 보안기준을 수립해야 한다.