신용카드 정보가 술술... 해킹 취약지대 '중소 소매기업'

IDG News Service
IT 서비스 업체 메타포어(Metafore)의 컨설턴트 로브 반덴브링크는 캐나다의 한 유수 소매업체를 대상으로 침투 테스트를 하던 중 물건 하나를 구입했다. 그리고 후에 자신의 신용카드 번호가 그 회사의 시스템에 보관되고 있다는 사실을 발견했다.

반덴브링크에 따르면, 캐나다 전역에 수백 개의 매장을 보유하고 있는 이 소매업체는 강력한 보안 태세를 갖춰야 하고, PCI-DSS(Payment Card Industry's Data Security Standards)로 알려진 보안 가이드라인을 준수해야 한다.

그러나 반덴브링크는 설정 상의 간단한 오류 하나 때문에 원격 접속을 할 수 있었다. 그는 타깃(Target), 니먼 마커스(Neiman Marcus), 마이클스(Michaels), UPS 스토어 등에 위협을 초래했던 문제에 이 소매업체 또한 취약하다는 사실을 발견했다. 악성 소프트웨어의 수집(harvesting) 작업에 취약한 메모리를 이용해 카드 데이터를 저장하고 있었던 것이다.



상황이 더욱 악화되고 있다. 지난 달, 미국 국토안보부와 비밀경호국은 POS(Point Of Sale)로 불리는 전자 현금등록기가 맬웨어에 감염되어 있을 수 있는 사업체들이 최대 1,000여 곳에 달한다고 경고했다.

그렇다면, 데이터 도둑들이 기승을 부리는 이유는 뭘까? 보안 애널리스트들에 따르면, POS 맬웨어는 새롭지도 않고, 특별히 정교하지도 않다. 백오프(Backoff), 블랙POS(BlackPOS), 잭POS(JackPOS) 같은 프로그램들은 컴퓨터 메모리에 데이터 형태로 저장된 클리어 텍스트 형식의 결제 카드 정보를 빼낸다. 이는 ‘RAM 스크래핑(Scraping) 프로세스’라 불린다.

카드 데이터를 취급하는 상점들은 PCI-DSS를 준수해야 한다. 카드 사용자의 데이터가 유출되면 책임져야 하는 것도 물론이다. 그러나 가장 최근의 보안 규정인 PCI-DSS 버전 3.0은 상점들이 개인의 카드를 판독하면서 카드 데이터를 암호화하는 기술을 의무적으로 요구하지 않고 있다. 참고로 이는 ‘포인트 투 포인트 암호화’라 불린다.

보안 전문가들에 따르면, 이 기술을 이용함으로써 인메모리 맬웨어 문제를 없앨 수 있다. PCI-DSS를 개발한 PCI 보안 기준 위원회(PCI Security Standards Council)는 최근 상점들이 이 암호화 기술을 도입할 것을 권고했다.

그러나 소매업체들의 기술 교체 주기는 긴 편이다. 대다수에게 이 기술이 도입되기까지 5~7년이 소요될 수 있다. 가트너에서 은행과 카드 회사에 컨설팅을 제공하는 아비바 리탄 애널리스트는 향후 사기 행위가 대형 소매업체에서 소형 소매업체로 옮겨갈 것이라고 내다본다. 전자는 취약점을 해결하고 있지만, 후자는 그렇지 못하기 때문이다.

리탄은 "종합적으로 봤을 때 POS에서 침해가 발생한 기간이 적어도 몇 년은 될 것으로 판단한다"라고 말했다.

여기에 더해, 소매업체들은 공격을 당할 때 네트워크 로그에서 핵심 신호를 놓치는 사례가 많다. 버라이즌의 데이터 침해 사고 조사 팀인 리스크 팀(Risk Team)의 브라이언 사틴 매니징 디렉터는, 이런 이유로 카드에 '부정이나 사기' 행위가 표시되는 시기에 이르러서야 제3자가 침해 사실을 발견하는 사례가 많다고 지적했다.

그는 "1990년대 기술로 현대적인 사이버 공격에 대응을 하려는 상점들이 많은 것"이라고 말했다.

카드 회사들은 침해 사고가 발생했을 때, 상점에 벌금과 함께 포렌직 조사 비용을 부담시킬 수 있다. 이런 이유로 데이터 침해 보험이 인기를 끌고 있다. 비즐리 그룹(Beazley Group)의 닉 이코노미디스 언더라이터(보험 처리인)는 PCI 관련 침해 사고의 경우 최대 US 10만 달러의 비용이 발생할 수 있다고 전했다.

최근 몇 년 들어서는 상점들이 '반격'에 나서고 있다. POS 시스템 공급업체 및 통합업체를 상대로 소송을 제기하는 것이다. 이들은 소송에서 공급업체가 설정과 유지보수를 잘못했기 때문에 침해 사고에 책임을 져야 한다고 주장하고 있다.

흥미로운 사실은 법정 소송으로 발전하는 사례는 극소수에 불과하다는 점이다. 이런 소송에 다수 관여를 했던 애틀란타의 찰스 호프(Charles Hoff) 변호사는 POS 공급자가 합의를 선택하는 경우가 많은 것이 이유라고 설명했다.

호프는 "POS 공급업체들은 자신들이 소송에서 이길 가능성이 높다고 생각할지라도, 언론이 이를 파고드는 것을 좋아하지 않는다. 시장 활동에 도움이 되지 않기 때문이다. 이들은 고객들을 잃지 않고, 계속 유지할 방법을 찾고 싶어한다"라고 말했다.

여러 POS 시스템스에 채택된 결제 처리 기술을 개발한 머큐리 페이먼트 시스템스(Mercury Payment Systems)의 팸 갤리건 최고 컴플라이언스 책임자는 "모든 상점들은 제품이나 서비스를 판매하기 원한다. PCI는 이들 상점에 점점 증가하는 기술 요건을 준수할 것을 요구한다. 그런데 상점들은 카드 환경 보호에 많은 시간과 에너지를 투자하기 원하지 않는다"라고 말했다.

상점들이 1월 1일부로 효력이 발생한 PCI-DSS 3.0 도입에 박차를 가하도록 만들려는 광범위한 노력이 전개되고 있다. 그러나 주요 요건 12개, 하위 요건은 250여 개에 달하는 복잡한 요건이다.

갤리건과 머큐리는 POS 파트너들이 PCI에 보조를 맞추도록 노력하고 있다. 호프는 데이터 보안 전문가가 아닌 사람들에게 PCI-DSS를 소개하는 조직인 PIC 대학(PIC University)의 CEO이자 공동 설립자다.

상점들은 상시, 그리고 매번 카드 데이터를 취급해야 하는 처지에 놓여있다. PCI 위원회는 소매업체들이 매년 감사를 건너뛰거나, 망각해서는 안 된다고 권고한다. 네트워크가 바뀌면서 해커들이 이를 이용할 수 있는 취약점이 생길 수 있다는 것이 중대한 골칫거리 중 하나이기 때문이다.

반덴브링크가 테스트를 한 캐나다 소매업체에도 이런 문제가 발생했었다. 이 회사는 최근 하드웨어를 교체하면서, 2개의 인터넷 지향 텔넷과 SSH 포트를 열어놓는 실수를 저질렀다. 비밀번호로 보호가 된 포트이지만 여러 기법을 이용해 비밀번호를 찾을 수 있었다. 그리고 반덴브링크는 자신의 카드를 포함, 카드 데이터가 저장된 메모리에 접근을 할 수 있었다.

그는 "접근을 하고 나서 깜짝 놀랐다. 메모리에 수천 개의 카드 정보가 저장되어 있었기 때문이다"라고 말했다. ciokr@idg.co.kr