포스 시스템 보안 문제

2012년 1월 결혼을 앞두고 결혼식장에서 신을 구두를 사러 갔다가 경험한 일을 글로 썼습니다.

 

 

- 내 신용카드가 도용될 수도 있다?! (2012년 5월 17일)

http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=3&seq=19461

 

 

5월 8일 어버이날 초고를 넘기고 14일 부터 인터넷 접속이 원활하지 않은 독일에서 편집하시는 분과 의견을 주고 받으며 내용을 수정했습니다.

 

다 잊고 한국에 도착해 메일을 정리하고 있었는데 꽤 큼직한(?) 사건이 있었더군요.

 

 

 

'고객님의 신용카드가 도용되었습니다'라는 제목으로 발송되어 받아본 고객이 놀라서 항의한 걸로 보입니다.

 

 

 

*** 원본 글

 

포스 시스템 보안 문제   구두 매장에서 구두를 고르고 있을 때 “컴퓨터는 니가 잘 아니까 한번 확인해봐”라는 얘기를 들었다. 그때만 해도 구두 매장에서 보안과 관련된 사항을 경험하게 될지 몰랐다.   신발을 고른 후 주소 변경이 필요해 직원에게 얘기하니 매장 컴퓨터에 문제가 있어 잠시 사용할 수 없다는 얘기를 들었다. 기다리며 모니터를 잠시 보니 본사에서 원격제어 프로그램으로 접속해 불필요한 프로그램을 제거하고 있었다. 아마도 매장 직원이 노트북으로 웹 서핑을 하다 불필요한 프로그램이 설치되고 카드 결제 등에 장애가 발생한 걸로 보였다. 게다가 백신 프로그램이 2개나 설치되어 있어 “백신 프로그램 두 개 이상 사용하면 충돌 가능성 있어서 안 좋습니다.”라고 말해줬지만 “저희가 컴퓨터를 잘 몰라서요.”라며 말끝을 흐렸다.   그 노트북은 이른바 포스 시스템이었다. 포스 시스템(Point-of-sale system)은 판매 시점에 판매 관련 데이터를 관리하는 시스템으로 과거에는 전용 시스템을 이용했었다. 하지만, 지금은 대부분 일반 컴퓨터에 바코드 및 신용카드 리더기와 프로그램을 설치해 처리하고 있다. 또한 인터넷 접속이 가능해 쇼설 커머스의 할인 쿠폰 조회 등도 가능해졌다.   전용 시스템과 전화선 대신 컴퓨터와 인터넷이 이용되면서 가끔 컴퓨터 오류나 인터넷 장애로 결제가 안 되는 불편을 경험하기도 했다. 하지만, 보안 관점에서 보면 일반 컴퓨터의 보안 문제가 이들 포스 시스템에도 그대로 적용될 수 있다. 특히 포스 시스템에는 신용카드 번호 등이 저장되어 있고 이 정보를 이용해 카드를 복제 할 수 있다고 한다.   포스 시스템에서 가능한 보안문제는 다음과 같다.   첫째, 포스 시스템 이용 중 악성코드 감염   컴퓨터에 대해 잘 모르거나 보안에 대해 잘 모르는 직원들이 포스 시스템로 윈도우 업데이트 등을 하지 않고 웹 서핑을 할 수 있고 그 과정에 악성코드에 감염될 수 있다. 만약 다른 컴퓨터 작업도 한다면 악성코드에 감염될 가능성은 더욱 높아진다.   둘째, 포스 프로그램 자체 업데이트 기능을 통한 악성코드 감염   포스 프로그램의 기능 향상을 위해 업데이트 기능이 포함된 경우 업체 서버가 해킹 당하면 악성코드에 감염 될 수 있다.   셋째, 원격제어 프로그램을 통한 외부 침입   구두 매장 시스템과 같이 장애 처리를 위해 원격에서 접속 할 수 있는 프로그램을 실행해 두는 경우 간단한 암호 등 별다른 보안 정책을 적용하지 않을 경우 외부에서 공격자가 원격에서 접속 할 수 있다.   사실 포스 시스템의 보안 문제는 2007년부터 발견되어 몇 년 동안 언론을 통해 알려지고 있었다.[1][2]   포스 시스템 보안에 대해 여러 가지 대응 방안에 대한 얘기가 나오고 있지만 신용카드사는 부정 사용에 대해서 관여하고 포스 시스템 제작 업체는 사용자 책임, 포스 시스템 이용자는 백신 프로그램 사용 정도에 머물고 있다고 한다. 하지만, 이미 알려진 악성코드만 진단 가능한 백신 프로그램만으로는 한계가 있다. 알려진 프로그램만 실행 할 수 있는 트러스라인(TrusLine)[3]과 같은 보안 프로그램도 존재하지만 포스 시스템을 일반 컴퓨터처럼 사용에게 적용하기는 어렵다.   포스 시스템 보안 사고를 최소화 하기 위해서는 개발 업체들도 보안을 보다 신경 써 제작해야겠지만 이용자(업소)가 포스 시스템을 웹서핑 혹은 메일 확인 같은 다른 목적으로 이용하지 않아야 한다. 체인점을 관리하는 본사에서도 가맹점에게 이런 사항을 꾸준히 교육해야 하지 않을까 싶다. 신용카드 이용자들도 중소형 카드 가맹점에서는 카드 정보가 남지 않는 손바닥만한 카드 단말기(캐트·CAT)를 쓰기 때문에 개인정보 유출 가능성이 낮으므로 이들 업체에 카드를 사용하는 습관도 필요해 보인다.   마지막으로 2012년 3월 30일에는 결제 대행 업체인 미국 글로벌 페이먼츠(Global Payments)사가 해킹 당해 신용카드 정보가 유출되었다는 보도가 있었다.[4] 신용카드 결제 내역을 중간에 관리해주는 업체의 해킹 소식을 보며 본인만 조심한다고 해결 되지 않는 최근 보안 상황을 생각해 본다. 문득 이번 달 몇 번 신용카드를 사용했고 과연 나의 신용카드 정보는 잘 보호 되었을까 하는 걱정을 하며 글을 마무리 한다..   [1] http://news.chosun.com/site/data/html_dir/2012/01/25/2012012500178.html [2] http://www.seoul.co.kr/news/newsView.php?id=20091105010004 [3] http://www.ahnlab.com/kr/site/product/productView.do?prodSeq=57 [4] http://news.khan.co.kr/kh_news/khan_art_view.html?artid=201204160300005&code=920301

 

원본 글은 포스 시스템 보안 문제에 대한 평범한(?) 글이었습니다. 저는 포스 시스템을 컴퓨터처럼 사용하면 문제는 지속적으로 발생 할 수 있어 교육이 중요하다는 요지의 글이 작성되었습니다.

 

편집은 아무래도 안랩 제품인 트러스라인에 초점이 맞춰졌습니다. 처음에는 너무 회사 홍보성으로 흐른게 아닌가 생각되었지만 실제로 몇몇 매장에서는 트러스라인이 사용되고 있다고 합니다.

(역시 글을 쓸 때는 해당 부서에 물어 봐야 할 듯 합니다.)

 

이번 출장 기간 중 독일에서는 몇 년 전과는 다르게 상당수 매장에서 싸인 대신 핀번호(비밀번호)를 입력하도록 보안 조치가 강화되었더군요.