Offcanvas

보안 / 비즈니스|경제

美 신용카드 단말기, 1990년대부터 동일한 암호 사용

2015.04.24 Martyn Williams, Stephen Lawson  |  IDG News Service
많은 사용자들이 신용카드 단말기 암호가 독특하다고 생각하며 바꾸지 않은 것으로 파악됐다.

수 천만 건의 신용카드 번호 도난을 초래했던 정보 유출로 유통사들이 분투하는 가운데, 이번 주 미국 샌프란시스코에서 열린 RSA 컨퍼런스에서 신용카드 결제 단말기에 20년 넘게 동일한 암호가 사용되고 있다는 주장이 제기됐다. 이 주장에 따르면, 동일한 암호는 ‘166816’이다.

구글 검색 결과 이는 베리폰(Verifone)이 판매한 신용카드 단말기의 몇몇 모델에 기본으로 설정된 암호로 밝혀졌다. 실리콘밸리에 본사를 둔 이 업체는 2,700만 대의 결제 기기와 연결돼 있고 150개국에서 판매했다.

이 조사를 맡았던 연구원인 데이비드 바이언과 찰스 헨더슨은 자신들이 조상한 단말기 10개 중 9개에서 이 암호가 여전히 쓰이는 있으며 고객들은 그 암호가 자사 기기에만 설정된 고유한 것이라고 생각하기 때문인 것 같다고 말했다.

목요일에 발표된 보도자료에서 베리폰은 현장에 있는 모든 기기들이 동일한 기본 암호를 사용해 왔음을 인정했으며 그 암호는 Z66831이라고 말했다. 수 년 동안 이 암호는 프로그래밍 단말기용 지시와 함께 인터넷에서 찾을 수 있는 것으로 알려졌다고 베리폰은 전했다.

"중요한 사실은 이 암호를 알고 있더라도 민감한 결제 정보나 PII(개인 식별 정보)를 알 수는 없다는 것이다"라고 베리폰은 말했다. "암호가 누군가에게 무엇을 할 수 있도록 허용하는 것은 단말기에서 일부 설정을 구성하는 것이다. 실행 가능한 모든 것은 서명된 파일이 필요하며 단순히 암호만 안다고 해서 악성코드를 입력할 수는 없다"고 이 회사는 주장했다.

베리폰은 자신들이 고객들에게 암호를 변경하라고 강력하게 권고했고 신제품의 경우 설치 후 자동으로 만료돼 사용자가 암호를 변경하도록 개발됐다고 말했다.

RSA 컨퍼런스는 해마다 열리는 보안 업계의 중요한 연례 행사며 두 연구원의 의견은 더리지스터(The Register)SC매거진(SC Magazine)에도 나와 있다.


이 같은 행사는 종종 취약한 보안 관행을 강조하거나 해커가 시스템을 어떻게 겨냥하는지를 공개하는데 이용된다. 다행인 것은 이러한 정보를 좀더 널리 알림으로써 기업과 사용자가 사이버보안에 대해 경각심을 갖고 나쁜 습관을 바꾸게 된다는 점이다.

점점 더 많은 사이버범죄자들이 POS 단말기에서 취약점을 노리고 있다. 그 가운데 가장 크고 많이 알려진 사건은 7,000만 명의 고객들에게 피해를 입 타겟의 사고다. 홈데포의 경우 고객 5,600만 명의 결제카드 정보가 유출됐다.

이들 정보 유출 때문에 미국 내 결제 기업들이 칩 기반 카드로 바꾸는 추세다. 하지만 연구원들은 카드 보안을 완전히 해결한 게 아니라 부분적으로 결제 단말기와 유통사의 다른 시스템에 의존하고 있다고 지적했다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.