미국의 유명 의류 브랜드 에디바우어(Eddie Bauer)는 최근 미국과 캐나다의 약 370개 매장에서 운영해 온 판매시점 정보관리 시스템(POS) 단말기가 악성코드에 감염돼 고객의 지불결제 정보를 유출하는 사고를 겪었다. 지난 주에는 메리어트, 하얏트, 쉐라톤 등 외국계 대형 호텔 체인도 POS 해킹으로 고객 결제카드 정보를 유출했다.


POS 단말기를 해킹해 결제 정보를 탈취하는 사이버 공격이 최근 잇달아 발생하고 있다. / 카스퍼스키랩 제공
POS 단말기를 해킹해 결제 정보를 탈취하는 사이버 공격이 최근 잇달아 발생하고 있다. / 카스퍼스키랩 제공
컴퓨터 외에도 인터넷에 연결되는 기기가 많아지면서 POS나 자동 금융거래 단말기(ATM)과 같은 특수 목적 시스템을 노린 보안 위협이 증가하는 추세다. 기존 특수 목적 시스템은 특정 작업만 처리하도록 설계돼 극히 제한된 소프트웨어만 실행할 수 있었다. 하지만 최근에는 윈도와 같은 범용 운영체제(OS)를 탑재하고, 고객관리 시스템과의 연동을 위해 항상 인터넷에 연결돼 있어 컴퓨터와 동일한 보안 위협에 노출되는 경우가 많다.

POS 해킹에는 시스템 메모리 영역의 정보를 스캔하는 '메모리 스크래핑(Memory Scraping)'이라는 방법이 주로 사용된다. 메모리에는 프로그램의 다양한 정보들이 저장되는데, 암호화 솔루션을 적용하지 않은 POS의 경우 카드 정보가 고스란히 노출된 상태에서 메모리에 저장된다. 악성코드는 이 점을 악용해 카드 정보를 탈취한다. 국내에서도 비슷한 수법으로 카드결제 단말기를 노린 '다이아몬드 봇넷'이라는 악성코드가 상반기에 발견됐다.

ATM도 과거 가짜 리더기를 카드 삽입구에 부착해 마그네틱 카드 정보를 훔치는 고전적인 수법을 넘어 최근에는 인터넷으로 원격 해킹을 시도하는 사례가 늘고 있다. 해커 입장에서는 수많은 보안 시스템으로 무장한 은행 서버를 노리기보다 상대적으로 취약한 ATM을 공략하는 편이 더 쉽기 때문이다. 해외에서는 2014년 '튭킨(Tyupkin)'이라는 ATM 전용 악성코드가 발견됐고, 2015년에는 ATM을 주 타깃으로 하는 해커 그룹 '카바낙(Carbanak)'이 등장했다.

해커가 특수 목적 시스템을 노리는 이유는 대부분의 단말기가 여전히 윈도 XP와 같은 구형 OS에 의존하기 때문이다. 구형 OS는 이미 알려진 보안 취약점에 대해서도 무방비 상태나 다름 없다. 관리자가 단말기의 소프트웨어 업데이트를 꼬박꼬박 해주는 경우도 보기 어렵다. 입점 초기 수령한 단말기를 그대로 사용하는 매장이 대부분이다. 전문가들은 제조사가 제공하는 패치만 충실히 적용해도 상당수의 보안 위협을 막을 수 있다고 조언한다.

또 웹 브라우징과 같이 시스템 운영에 불필요한 서비스는 사용을 중지하고, 보안 전문 업체가 제공하는 특수 목적 시스템용 보안 솔루션을 도입하는 것도 좋다. 특수 목적 시스템용 보안 솔루션은 낮은 메모리와 적은 용량의 저장 공간에서도 원활하게 구동되며, 구형 OS와의 호환성이 뛰어난 점이 특징이다.

보안 업계 한 관계자는 "POS 단말기를 대상으로 한 악성코드 피해는 주로 해외에서 보고되는 사례가 많지만, 모든 기기가 인터넷으로 연결된 만큼 국내도 안전지대는 아니다"며 "특히 POS는 지불결제와 같이 민감한 정보를 다루는 만큼 자칫 보안 사고 발생 시 기업 이미지에 큰 타격을 줄 수 있어 세심한 보안 조치가 필요하다"고 말했다.