[이슈분석]POS, 해커의 새 놀이터로...누구도 책임지지 않는 기형학적 관리 구조

신용카드 판매시점관리시스템(POS) 단말기를 통한 개인정보 유출 문제는 어제오늘의 일이 아니다. 이미 국내 카드 부정사용 중 80% 이상이 POS시스템 해킹을 통해 발생했다.

우리나라는 POS시스템 보안관리 주체가 불명확하고, 전국 가맹점에 설치된 POS 기종조차 파악하지 못하는 구조를 갖고 있다. 밴(VAN) 대리점을 통해 무상으로 POS를 설치하고, 이를 통해 고객정보를 관리한다. 이 때문에 내 정보가 어떻게 유통되는지 알 수도 없고, 신용카드 가맹점 POS를 통해 유출되는 것을 막을 수도 없다.

POS는 넓은 의미로 물건 정보를 관리하는 것을 말한다.

판매시점에서 정보를 POS 터미널(단말기)로 포착하고 이것을 컴퓨터에 의해 데이터 처리 방식으로 처리해 경쟁에 필요한 정보와 자료의 수집과 작성을 알게 해준다. 컴퓨터를 포함한 모든 시스템을 POS시스템이라고 한다.

일종의 카드결제 가맹점의 온라인 가계부인 셈이다. 하지만 최근 이 POS시스템을 해킹해 카드 부정사용이 잇따르고, 거래 고객 정보가 고스란히 외부로 유출돼 논란이 되고 있다.

백화점과 대형마트, 식당, 주유소 등 생활밀착업종과 카드 거래가 상대적으로 많은 대형 가맹점 POS를 통해 제2의 개인정보 유출 대란 가능성이 제기됐다.

정부는 카드 위·변조를 막기 위해 마그네틱 카드를 IC카드로 전환하는 대책을 내놓은 바 있다. 2015년까지 모든 신용카드 가맹점도 POS결제 단말기와 직접 결제가 이뤄지는 캣(CAT)단말기를 IC결제단말기로 전환해야 한다.

하지만 확인결과 POS시스템이 설치된 전국 36만 가맹점 중 IC카드단말기로 전환한 곳은 2만곳에 불과했다. 전환율은 불과 5.8%. 결국 서민들이 결제하는 전국의 모든 식당과 편의점, 대형 마트 등 34만곳은 여전히 카드 위·변조가 가능한 마그네틱 카드 결제가 이뤄지고, 고객 정보가 POS시스템에 고스란히 저장되고 있는 것이다.

개인 정보가 전국 곳곳에 깔려있는 POS시스템을 통해 저장, 수집되고 언제나 해커의 표적이 될 공산이 크다.

상황이 이런데도 POS보안 대책은 투자비 논란과 법적인 근거 없이 표류하고 있다. 정부 또한 난감하긴 마찬가지라는 입장이다.

◇POS 기종만 수백 종, 관리도 규제도 ‘불가항력’

전국 가맹점에 설치된 POS시스템은 표준이 없다. PC에 정산 SW를 연결해 쓰는 곳도 있고, 출처가 불분명한 외산 POS시스템을 쓰는 곳도 부지기수다.

어떤 POS시스템이 얼마나 쓰이는지, 정보관리를 어떻게 하는지 가이드라인이 없는 셈이다. 상황이 이렇다 보니 정부도 이를 규제하기는 현실적으로 불가능하다는 입장이다.

금융당국 관계자는 “한 회사의 내부 시스템을 국가가 관리한다는 건데, 이는 명분도 없고 말이 되지 않는다”며 “POS보안 대책을 마련하려면 개인, 금융정보를 POS시스템으로 흘러들어가는 것을 원천적으로 금지하는 방안이 필요하다”고 말했다.

밴 업계와 카드사도 같은 의견이다. 업종별로 가맹점이 서로 상이하고, POS시스템으로 관리하는 정보도 천차만별이다. 이를 일률적으로 관리하거나 같은 기종의 POS를 구축하는 것도 현실에 맞지 않는다는 지적이다.

국내 POS제조사만 무려 300여곳. 외산 기종까지 들여와 파는 유통사까지 합치면 500곳이 넘는다.

1200만건의 개인정보 유출 사고가 발생했다. 이에 대한 책임공방도 뜨겁다. 가맹점 POS시스템에서 개인정보가 유출됐다면 과연 누구의 책임일까? 가맹점 책임이라는 유권해석이 있지만 정부 당국조차 이 부분에 대한 명확한 결론을 내지 못했다.

카드사의 책임인지, 제품을 공급한 밴 대리점인지, 아니면 POS시스템 개발회사인지 논란만 가중되고 있다. 일각에서는 이를 가맹점 책임으로 규정해야 한다는 목소리가 있다. 정보수집과 관리를 현장에서 책임지는 가맹점이 1차 가해자기 때문이라는 논리다.

◇POS보안 대책, 현실에 맞는 처방 나와야

POS개인정보 유출 사고로 가장 큰 치명타를 입은 곳은 바로 밴 업계다. 하지만 이는 명백히 말하면 POS보안에 대해 눈감은 금융당국의 책임이 가장 크다는 지적이다.

정부는 2015년 IC카드 전환 대책과 맞물려 전국 가맹점 대상으로 IC 겸용 POS단말기 보급 사업을 추진 중이다. 문제는 전환사업에 소요되는 비용만 2000억원 이상이 든다.

투자 주체가 카드사인지, 밴사인지 알 수도 없고 모두 한 발 빼고 있다. 이를 관장하는 금융위원회는 민간이 알아서 할 일이라며 책임 떠넘기기에만 일관하고 있다. 이 때문에 또 하나의 소관부처인 금융감독원과도 손발이 맞지 않는 불편한 관계를 지속하고 있다.

안일한 금융당국의 정책기조로 인해 혼란만 가중되고 있다는 비판이다. 한 카드사 관계자는 “보급 사업에 대해 가이드라인이 없어 알아서 하라는 식”이라며 “역할 분담할 수 있는 컨트롤타워 부재로 2015년까지 IC카드 단말기 보급은 불가능하다”고 분위기를 전했다.

밴 업계 관계자도 “보안 강화를 외치면서 보급 사업에는 한발 물러서 눈치만 보고 있다”며 “POS단말기를 통한 부정 사고가 조만간 연이어 터질 것”이라고 경고했다.

길재식기자 osolgil@etnews.com