정보

카드 ‘포스단말기’ 위험..불법복제돼 마구 사용

aazoo 2009. 11. 5. 20:36

[서울신문 탐사보도] 카드 ‘포스단말기’ 위험

긁는순간 정보 해외유출… 불법복제돼 마구 사용

 

서울신문    http://www.seoul.co.kr 

 

국내 고객 신용카드 정보가 전국 카드가맹점의 ‘포스단말기’를 통해 해외로 유출돼 복제된 뒤 불법 사용되고 있는 것으로 확인됐다. 8월 초부터 이 같은 움직임이 포착됐으며, 이후 수사 당국은 유출 경위와 피해 규모 등 실태파악에 들어갔다. 소프트웨어 보안전문 업체인 안철수연구소는 백신 개발 및 해법 찾기에 돌입했다. 하지만 해당 카드사들이 고객의 정보 유출을 은폐하고, 피해 규모를 축소하고 있어 정확한 규모 파악은 잘 안 되고 있다.
 

포스단말기는 백화점·할인점·편의점·프랜차이즈 업소 등 중·대형 카드가맹점에 설치돼 있다.

 

포스(POS: Point of Sale) 단말기는 단순히 거래 내역만 저장되는 다른 카드단말기와 달리 카드번호·유효기간 등 모든 신용카드 정보가 저장되는 단말기다. 이 단말기는 하드와 소프트웨어로 이뤄진 일반 PC와 같다고 보면된다. 이 때문에 포스단말기는 범죄조직들의 해킹 표적이 되고 있다. 전문가들은 포스단말기를 이용한 카드 복제는 기존의 단순 카드 복제와는 다른 신종 수법으로 이를 방치할 경우 금융피해가 눈덩이처럼 불어날 수 있다며 적극적인 대응에 나서야 한다고 말한다.

 

 

3일 수사당국과 카드사 등에 따르면 신한·국민·삼성·현대·롯데·BC·외한카드 등 7개 카드사의 고객 정보가 카드를 긁는 순간 실시간으로 빠져나가고 있는 것으로 파악되고 있다.

 

8월9일부터 9월21일까지 전국 카드가맹점의 ‘포스단말기’가 해킹돼 7개 카드사의 ▲카드번호 ▲유효기간 ▲PVV(카드 비밀번호 암호화값) ▲CVV(신용인증값) 등 고객들의 신용카드정보가 국외로 유출됐다. 이 기간 동안 7개 카드사들의 카드정보 3000건(명)이 새나갔으며 이 중 6개 카드사(삼성카드는 미공개) 108건이 미국·이탈리아·그리스·스페인 등지에서 불법 복제돼 3억여원의 카드사용액이 발생했다(표 참조).

 

또 지난달에도 경기 파주의 S편의점, 경남 진해의 F커피숍의 포스단말기가 해킹당하는 등 카드정보 유출이 계속되고 있다. 카드업계 관계자들은 “포스단말기를 통한 실시간 카드정보 유출이 언제부터 일어났는지 정확히 알 수 없지만 올 여름부터 카드사들의 고객 신용카드정보가 동시다발적으로 빠져나가고 있는 게 사실”이라고 밝혔다.

 

한편 금융감독원에 접수된 2006~08년 해외 복제카드 피해액에 따르면 2006년 52억여원, 2007년 34억여원, 2008년 38억여원이다. 하지만 7개 카드사들의 연간 피해액은 120여억원에 이르는 것으로 업계는 보고 있다.

 

한 카드사 관계자는 “카드사별 손실금액은 대외비이기 때문에 금감원에 정확한 데이터를 보내지 않는다.”고 귀띔했다. 다른 관계자는 “피해 액수가 많다고 하면 불안해서 해당 카드사 카드를 사용하겠느냐.”면서 “카드사들이 쉬쉬하는 이유가 이 때문”이라고 말했다.

 

김승훈기자 hunnam@seoul.co.kr

 

 

[서울신문 탐사보도-카드 해외복제 기승]카드복제 피해 황당사례

“이탈리아 보석점서 내가 긁었다고? 가본 적도 없어요”

“9월24일 이탈리아의 한 보석점에서 1400달러를 카드로 결제했는데, 고객님께서 직접 사용한 게 맞나요.”

A씨는 최근 한 카드사로부터 전화를 받고 깜짝 놀랐다. 새벽 잠결에 들은 내용이라 꿈인 줄만 알았다. 하지만 출근 뒤 “이탈리아에서 카드가 사용됐다.”는 전화를 다시 받았다. A씨는 기가 막혔다. 지금껏 유럽 지역에는 한 번도 가본 적이 없었기 때문이다.

▲ 신용카드 단말기에서 빼낸 카드정보를 이용해 제작된 복제카드. 최근에는 카드번호·유효기간 등 신용카드의 모든 정보가 저장되는 포스단말기(작은 사진) 해킹 수법으로 카드 정보가 해외로 유출돼 복제·사용되고 있다.
서울신문 포토라이브러리

A씨가 “쓴 적이 없다.”고 하자, 카드사 측은 “카드를 부모님이나 친척 등 다른 사람에게 빌려준 적이 있느냐.”고 되물었다. A씨는 “없다.”고 했다. 그러자 “혹시 8~9월 사이 베트남쌀국수 전문점인 호아센(서울 여의도점)에 간 적이 있느냐.”고 물었다. A씨는 “직장이 여의도에 있어 점심 먹으러 자주 간다.”고 답했다. 그러자 카드사 측은 “아마 카드가 복제돼 해외에서 사용된 것 같다.”며 “고객님이 사용하지 않았다는 증빙서류를 제출해 달라. 서류를 제출하지 않으면 요금이 그대로 청구된다.”고 했다. 그러면서 “지금 사용하는 카드는 거래 정지했다.”면서 “카드를 새로 발급받아야 한다.”고 덧붙였다.

 

A씨는 “언제, 어디서, 어떻게 카드가 복제됐는지에 대해선 아무런 설명도 없이 무작정 카드를 바꾸라고 통고했다.”고 목청을 높였다. 이어 “해외에서 사용하지 않았다는 걸 증명하지 않으면 그대로 해당 금액을 청구하겠다니 말이 되느냐. 도대체 카드정보를 어떻게 관리하기에 이런 일이 일어나느냐. 불안해서 어디 사용하겠느냐.”며 분통을 터뜨렸다.

 

B씨는 더 황당한 일을 겪었다. B씨는 최근 태국 방콕으로 여행을 갔다. 시내 여러 가게에 들러 기념품도 사고, 태국 전통 음식도 먹었다. 비용은 모두 카드로 지불했다. 문제는 귀국후 터졌다. B씨는 그달 카드청구서를 보고 경악했다. 평소보다 3배 이상의 금액이 청구됐던 것. 사용 내역을 살펴보니 태국에서 230만원을 사용한 것으로 나와 있었다. B씨는 카드사에 전화해 “태국의 한 가게에서 쓴 것으로 돼 있는 180만원은 직접 사용한 게 아니다.”고 말했다. 카드사 측은 “고객님의 사용패턴 등을 분석해 봐야 정확히 알 수 있겠지만 고객님의 카드가 복제·사용됐을 가능성이 크다.”고 답했다.

 

B씨는 곧장 카드사를 찾았다. 카드사 측의 요구대로 본인이 사용하지 않았다는 ‘이의신청서’를 작성해 제출했다. B씨는 “2개월 뒤에야 카드사로부터 ‘보상해주겠다.’는 연락을 받았다.”면서 “지금도 해외 어딘가에서 내 카드가 복제돼 사용되고 있는 건 아닌지 불안하다.”고 토로했다.

 

김승훈기자 hunnam@seoul.co.kr

 

[서울신문 탐사보도-카드 해외복제 기승]신종 ‘이메일 해킹’ 수법
포스단말기의 신용카드 정보는 ‘이메일 해킹’을 통해 해외로 빠져나갔다. 해커들이 전국 중·대형 카드가맹점의 포스단말기에 바이러스를 심어놓은 뒤 고객들이 카드를 긁는 순간 정보를 미리 지정해 둔 이메일 주소로 받는 수법이다.
 

카드복제도 새로운 국면으로 접어들었다. 카드복제기(일명 스키머)를 가지고 다니며 특정 지역이나 업소에서 소량 복제하던 아날로그 방식에서 해킹으로 빼낸 카드정보로 대량 복제하는 디지털 방식으로 진화했다. 범죄 장소나 시간도 구애받지 않는다.

 .
카드 결제는 ‘가맹점-밴(VAN)사-카드사’를 통해 이뤄진다. 소비자가 가맹점에서 카드를 긁을 경우 밴사를 거쳐 카드사로 가고, 카드사에서 사용 승인 결정이 나면 다시 밴사를 거쳐 가맹점으로 온 뒤 전표가 출력된다. 수사당국과 카드 업계는 해커들이 카드결제 과정에서 카드사 승인 뒤 내려오는 카드정보를 실시간으로 빼간 것으로 파악했다.

 

카드정보 해킹은 간단했다. 우선 해외 해커들은 인터넷 상에 ‘패킷’을 발송했다. 보안이 취약한 포스단말기를 찾아낸 뒤 침투해 ‘퍼펙트 키로거’(Perfect Keylogger, 해킹 프로그램)를 깔았다. 해당 포스단말기에 카드를 긁으면 그 정보가 러시아·중국·칠레·독일 등 여러 나라를 거쳐 사전에 지정해 놓은 ‘이메일’ 주소로 전송되도록 했다.

 

포스단말기 해킹을 통한 카드정보 유출은 복제카드의 새로운 장을 열었다. 해킹이란 신종 수법이 나오기 전까지는 카드복제가 쉽지 않았다. 우선 ‘스키머’를 업소에 비치해 두거나 가지고 다녀야 했다. 소비자들이 카드를 사용할 때까지 기다렸다가 일일이 스키머에 긁어 카드정보를 빼내야 했다. 그런 뒤에 공카드를 ‘리드앤라이트기’에 긁어 복제했다.

 

그러나 이제는 상황이 달라졌다. 공카드를 ‘리드앤라이트기’에 긁기만 하면 10초 이내에 이메일 주소로 받은 카드정보가 공카드에 옮겨져 복제카드가 만들어진다.

 

한 카드사 관계자는 “스키머를 이용할 경우 시간도 오래 걸리고 적발 위험도 따른다. 많아야 100개 안팎의 카드만 복제할 수 있다. 하지만 해킹을 통한 카드복제는 적발 위험도 없고, 한탕만 해도 기본 200만개 이상의 복제카드를 만들 수 있다.”고 말했다.

 

김승훈기자 hunnam@seoul.co.kr

 

■용어클릭

●리드앤라이트기

컴퓨터에 저장된 카드정보를 공카드에 옮기는 기계다. 호주 또는 러시아 범죄조직이 처음 만들었다. 1990년대 중반 널리 보급됐다. 해외 어디서나 구입 가능하다. 중대형 기계는 400만여원, 소형 기계는 100만원 미만에 거래된다.

 

[서울신문 탐사보도-카드 해외복제 기승] 포스단말기 해킹은 ‘예고된 재앙’
2007년 초 일부 카드가맹점의 포스단말기가 해킹돼 카드정보가 대량 빠져나가는 사고가 발생했다. 당시 카드사들은 극비리에 진상조사를 벌인 뒤 ‘조사결과 보고서’를 만들었다. 금융감독원에도 포스단말기의 위험성을 알렸다. 금감원은 지난해 카드사들의 우려에 대한 대책을 마련, 추진하겠다고 밝혔다.
 

하지만 1년반 가까운 시간이 흘렀지만 금감원은 추진방침에서 단 한발짝도 나가지 못했다. 카드사들에 정보 보안책임을 지도록 한 것 이외에 관리·감독, 관련 법률 손질 등 후속작업이 제대로 이뤄지지 않았다는 게 업계의 평가다. 이러는 사이 범죄수법은 진일보했다. 포스단말기 해킹은 ‘예고된 재앙’인 셈이다.

▲ 신용카드 단말기에서 빼낸 카드정보를 이용해 제작된 복제카드. 최근에는 카드번호·유효기간 등 신용카드의 모든 정보가 저장되는 포스단말기(작은 사진) 해킹 수법으로 카드 정보가 해외로 유출돼 복제·사용되고 있다.
서울신문 포토라이브러리
카드사들의 ‘2007~2008년 포스 업체의 카드정보관리 문제점 및 규제 방안’에 따르면 국내 카드가맹점의 포스단말기 해킹을 통한 카드정보 유출은 2006년 11월 처음 발생했다. 이듬해 1월에는 대구·창원 등지의 카드가맹점에서 카드정보가 무더기로 빠져나갔다.

 

오사카·봉이설렁탕·할리스·맥켄치킨·옛촌감자탕 등 프랜차이즈 업소와 음식·주점 등 400여 카드가맹점에서 카드정보가 새나갔다. 카드사 관계자들은 2일 “당시 금감원에 정확한 피해 규모는 전하지 않았지만 몇가지 실태를 예로 들며 포스단말기의 카드정보 유출 우려를 제기했었다.”고 말했다.

금감원은 카드사들의 지적을 토대로 지난해 5월22일 ‘신용카드 가맹점의 고객정보 보안관리 강화 지도 및 향후 추진 계획’을 발표했다. 주된 내용은 ▲포스단말기 내 매출내역과 관련 없는 정보(카드번호, 유효기간, CVV 등) 삭제 ▲포스단말기 보안 관련 기술표준 및 가맹점의 보안기준 제정·운용 ▲카드 가맹점 약관에 가맹점 보안준수사항 추가 등이다(표 참조).

 

금감원 관계자는 “당시 추진 안들이 잘 이행되고 있는 것으로 안다.”며 “현재 포스단말기에는 카드정보가 저장되지도 않고 저장되더라도 암호 등 보안 형태로 저장되기 때문에 정보 유출 위험이 없다.”고 강조했다. “추진 사항들이 제대로 실행되지 않아 문제가 생기면 가맹점 관리 주체인 카드사들이 책임져야 한다.”면서 “카드사는 주의·영업정지 같은 제재를 받고, 임직원도 처벌받는다.”고 덧붙였다.

 

금융당국의 신속하고 적극적인 대응책이 나오지 않는 틈을 타 범죄수법은 한층 지능화됐다. 과거 포스단말기 한 대를 해킹해 그 속에 들어 있던 카드정보를 통째로 빼가는 데서 대다수 포스단말기에 바이러스를 심어놓은 뒤 이메일로 실시간 빼내가는 방식으로 진화했다.

 

한 카드사 관계자는 “포스단말기에 저장된 카드정보를 몽땅 빼내갈 경우 수년전 카드정보도 섞여 있어 사용 전에는 거래정지·유효기간 초과 여부 등을 알 수 없다. 복제 뒤 이용할 때 위험부담이 따르기 마련”이라며 “하지만 ‘실시간 유출’은 카드사에서 사용승인이 난 카드정보를 바로 가져가기 때문에 복제 뒤 안전하게 쓸 수 있다.”고 말했다. 또 다른 관계자는 “예전에는 빼내간 카드정보를 한꺼번에 복제·사용해 유출 가맹점과 피해 규모를 쉽게 파악할 수 있었지만 요즘은 여러 가맹점에 빼내간 카드정보를 한 건씩만 복제·사용해 어느 가맹점에서 사고가 발생했는지 확인이 쉽지 않다.”고 설명했다.

김승훈기자 hunnam@seoul.co.kr

 

[신용카드 포스단말기 위험] 카드사 해킹 3개월간 쉬쉬…범인윤곽 오리무중
포스단말기 해킹을 통한 실시간 신용카드정보 해외 유출은 8월 처음 발생했다. 하지만 해당 카드사들은 이 사건을 극비에 붙였다. 카드사들이 쉬쉬하는 동안 9월과 10월에도 잇따라 카드정보가 새나갔다. 수사당국은 사건 발생 3개월이 됐지만 해커 등 범인들의 윤곽조차 파악하지 못하고 있다. 빠른 시일 내에 검거하지 못하면 피해 규모는 눈덩이처럼 불어날 수밖에 없다는 것이 카드업계나 수사당국의 공통된 시각이다. 복제카드가 세계 각지에서 무차별적으로 사용되고 있기 때문이다. 수사당국과 카드사 등에 따르면 해커들은 8월9~10일 이틀간 국내 중·대형 카드가맹점의 포스단말기에 해킹 프로그램을 깔고 9일부터 9월21일 사이 7개 카드사(신한·삼성·현대·롯데·국민·BC·외환)의 신용카드 정보를 해외로 빼돌렸다. 고객이 긁는 순간 실시간으로 빠져나갔다.

 .

현재 바이러스 감염이 확인된 가맹점은 호아센(베트남 쌀국수 전문 체인점), 홍초불닭(불닭 체인점), 쇼부(일본식 선술집 체인점) 같은 프랜차이즈 업소와 패밀리레스토랑인 마이엑스와이프 시크릿레시피 등 4곳이다. 이들 업소를 이용한 고객 3000명의 신용카드 정보가 유출됐다. 수사당국이 IP 주소를 추적한 결과 호아센·홍초불닭·쇼부의 카드정보는 독일 올덴버그에서 접속한 해커에 의해, 마이엑스와이프 시크릿레시피는 미국 샌디에이고에서 접속한 해커에 의해 빠져나갔다.

 .

카드업계는 “6월 기준 전국 카드가맹점은 1583만 9000여곳”이라면서 “이 중 40~50% 가맹점에 포스단말기가 설치돼 있다.”고 설명했다. 반면 단말기 공급업체 측은 “10곳 중 7~9곳에 설치돼 있다.”고 했다. 양측에 따르면 최소 633만여곳에서 최대 1425만여곳에 포스단말기가 보급돼 있다. 카드사 관계자들은 “카드사별 사고 내역을 교차·점검하는 과정에서 7개 카드사의 카드정보가 모두 유출된 가맹점이 4곳”이라며 “개별 카드사의 사고 건수는 집계조차 안 되기 때문에 바이러스에 감염된 정확한 가맹점 수는 파악하기 어렵다.”고 말했다.

 

유출된 카드정보는 세계 각지에서 복제·사용됐다. 9월1~2일 카드정보가 집중 빠져나간 신한카드는 미국, 이탈리아, 스페인 등지에서 29건이 복제·사용됐고 카드사용액은 5600만원이다. 삼성카드는 8~9월 카드정보가 샜고, 이탈리아 등지에서 복제·이용됐다. 삼성카드 관계자는 “현재 수사당국에 수사를 의뢰했고 자체적으로 실태를 파악하고 있다.”면서 “올 2·4분기(4~6월) 해외 부정사용(도난·분실·복제 등으로 인한 피해) 액수가 2억 1000만여원인 것을 감안하면 두 달 동안 복제로만 일어난 사고금액은 1억원에 훨씬 못 미칠 것”이라고 밝혔다. 취재과정에서 확인된 7개 카드사의 카드사용액은 3억여원이다.

 

카드사들에 따르면 올 상반기 기준으로 카드정보가 해외로 유출돼 복제카드로 만들어진 뒤 사용된 비율은 북미 33.42%, 유럽연합(EU) 33.0%, 아시아·태평양 지역 22.33% 등이다. 현재까지는 유럽 일부 지역에서의 카드사용액만 밝혀져 향후 조사 과정에서 다른 국가에서의 카드사용액도 줄줄이 나올 것이라는 게 카드업계 관계자들의 지적이다.

 

포스단말기 해킹 주도 세력은 아직 베일에 가려져 있다. 수사당국은 실체는 물론 윤곽조차 그려내지 못하고 있다. 단지 해외 범죄조직과 관련성이 있을 것으로 추측만 할 뿐이다. 수사당국 관계자는 “세계 여러 나라에서 동시다발적으로 복제카드가 사용되고 있는 것으로 보아 개인이 하기에는 힘들다.”면서 “전 세계에 조직망을 갖춘 ‘기업형 범죄조직’들이 범행을 주도하고 있는 것으로 추정된다.”고 밝혔다. 이어 “범죄 양상으로 봤을 때 총책, 해킹프로그램개발책, 해커, 정보수집책, 정보판매책, 복제카드제조유통책, 복제카드사용책 등으로 역할을 분담해 유기적으로 움직이는 것으로 보인다.”고 덧붙였다. 문제는 피해가 고스란히 소비자들에게 전가된다는 점이다. 카드사 관계자들은 “해외에서 발생하는 피해 금액은 모두 카드사에서 부담한다.”면서 “카드사들은 매년 손실금액을 마련하기 위해 무이자할부를 없애는 등 소비자 혜택을 줄이거나 가맹점 수수료를 올릴 수밖에 없다.”고 털어놨다.

 

김승훈기자 hunnam@seoul.co.kr

 

[신용카드 포스단말기 위험] 포스단말기 해킹 못막나

신용카드보안표준 제정 시급 ‘IC카드’도 복제 위험에 노출

“해킹 원천 차단은 현실적으로 어렵다. 새로운 바이러스가 발견될 때마다 그에 맞는 백신을 개발해 피해를 최소화할 수 있을 뿐이다.”(안철수연구소 관계자). “금융당국이 복제가 안 된다며 추진하고 있는 ‘IC카드’도 안전하지 않다. 중국에서 이미 IC카드 판독기가 만들어졌고 암호화된 정보를 그대로 IC카드 칩에 심는 기계까지 개발됐다.”(카드업계 관계자)
 

포스단말기 해킹을 통한 신용카드 정보 유출이 심각한 상황을 맞고 있다. 그러나 해킹 원천 차단은 불가능하고 기대를 모았던 IC카드(마그네틱카드와 달리 카드정보가 암호화돼 칩에 저장되기 때문에 복제가 어려운 카드)도 대안이 아니다. 그렇다면 카드정보 유출방지 대책은 뭘까. 카드업계 관계자들은 “미국처럼 우리나라도 하루빨리 ‘한국형 신용카드 정보보호 표준규정’을 제정, 시행해야 한다.”고 입을 모은다.

 

포스단말기 해킹을 통한 신용카드 정보 유출은 2000년 미국에서 처음 발생했다. 이후 2006년 3월 후지쓰사의 포스단말기를 사용하던 대형가맹점에서 카드정보가 대량 유출되면서 사회문제로 떠올랐다. 비자·마스터·아메리칸익스프레스·JCB·디스커버 등 세계 5대 카드회사 관계자들은 곧장 대책마련에 들어갔다. 해당 카드사들은 우리나라와 달리 피해 규모나 실상도 정확히 공개했다. 이들 카드사는 실태 파악 자료를 토대로 ‘PCI DSS’(Payment Card Industry Data Security Standard, 신용카드업계 정보보호 국제표준규정)를 제정했고 관리 기구인 PCI 보안표준위원회(SSC)도 설립했다.

 

PCI DSS는 신용카드 정보를 저장·처리·전송하는 카드 가맹점과 서비스사업자(밴사·단말기업체 등)라면 모두 준수하도록 권고하고 있다. 일정 거래 규모 이상의 서비스사업자와 가맹점은 의무적으로 이행토록 하고 있다. 어길 경우 카드결제 승인을 거부하는 등 강도 높은 제재도 하고 있다. PCI DSS가 규정하고 있는 보안 항목은 ▲카드 소유자 정보 및 민감 정보 암호화 ▲카드 소유자 정보에 대한 물리적 접근 통제 ▲바이러스 백신 소프트웨어 설치 및 정기적 업데이트 ▲데이터 보호를 위한 네트워크 침입차단시스템 설치 및 유지관리 ▲보안 시스템·프로세스 정기적 테스트 ▲네트워크·신용카드 정보접속 모니터링 등 12개다. 한 카드사 관계자는 “미국은 중소형 가맹점에도 ‘PCI DSS’ 준수가 확산돼 해킹 안전지대로 거듭났다.”고 전했다.

 

다른 관계자는 “우리나라는 복제카드로 인한 손실을 카드사가 부담한다. 사실상 손해가 없는 가맹점과 단말기업체는 해킹 방지 프로그램을 까는 것조차 고비용 등을 이유로 모르쇠로 일관하고 있다.”고 지적했다. 그러면서 “금융감독원을 비롯해 개인정보보호를 담당하는 방송통신위원회 등이 나서 한국형 ‘PCI DSS’를 제정, 해당 업체들이 준수토록 법적 강제 조치를 마련해야 한다.”고 밝혔다. 다른 카드사 관계자는 “포스단말기에 카드번호·유효기간 같은 정보가 저장되지 않도록 법안을 손질해야 한다.”고 강조했다.

김승훈기자 hunnam@seoul.co.kr