윈도 기반의 무인자동발급기 해킹 가능성이 사실로 확인됐다. 이로써 은행 현금자동인출기(ATM) 및 행자부 주민등록등·초본 무인발급기, 철도카드 등 윈도 기반 모든 무인단말기 역시 안전하지 않을 가능성이 더욱 높아져 개인정보 유출에 대한 대책 마련이 시급하다. 본지 12월 20일자 2면 참조
본지 기자가 지난 28일 서울 모처에 있는 C 영화관 무인자동발급기 리더에 손상된 신용카드를 긁는 순간 오류 메시지와 함께 화면이 PC의 윈도 화면으로 넘어가는 것을 실제로 확인했다. <관련기사 3면, 오류 화면 사진 참조>
오류 발생 후 생성된 윈도 화면에는 일반 컴퓨터 왼쪽 하단 ‘시작’ 버튼에 있는 일반적인 프로그램을 모두 불러올 수 있어 단말 자체를 PC처럼 사용하는 데 아무 문제가 없었다.
특히 윈도 화면에서는 해당 시스템에 명령어를 칠 수 있는 ‘셸’을 쉽게 찾을 수 있을 뿐 아니라, 해당 단말기 OS에 계정 및 패스워드를 추가하거나 변경할 수 있으며, 해당 셸을 원격에 있는 서버로 전송해 명령어를 이용할 경우 해당 기업의 시스템에 접근할 수 있는 권한을 손쉽게 확보할 수 있는 것으로 확인됐다.
본지를 통해 윈도 기반 무인발급기 오작동 및 해킹 가능성에 대한 취약점 보고서를 공개한 이경태 시큐어연구회 회장에게 취약점이 발견된 장비를 문의하자 “의도한다면 기업 정보를 손쉽게 유출할 수 있을 뿐만 아니라 해당 단말에 ‘스니퍼’를 설치, 단말을 이용하는 고객의 신용카드 및 비밀번호 등 거래 정보를 손쉽게 습득할 수 있다”고 밝혔다.
행정자치부는 주민등록등·초본 무인발급기 오작동 가능성에 대해 “훼손된 주민등록증을 사용하거나 일부 운전면허증, 신용카드 등 잘못된 카드를 삽입함으로써 기계가 카드를 삼키거나 뱉어내는 오류를 일으켰지만 윈도 화면으로 바뀌어 시스템 접근이 가능한 형태는 한 번도 없는 것으로 확인됐다”고 밝혔다.
특히 행자부는 “카드 삽입으로 인한 오류 발생을 해결하기 위해 지난해 법 개정을 통해 지문 인식만으로 서류를 발급하는 ‘2자 비교(생체지문+주민전산센터 지문)’ 방식을 권고해왔다”며 “그러나 어떤 이유로든 안전한 서류 발급을 위해 내년부터는 전국에 설치된 발급기 모두를 주민등록증을 투입하지 않고 지문 비교만으로 서류를 발급하도록 하는 행정조치를 취했다”고 덧붙였다.
행자부는 본지 기사 직후 발급기 제조사 관계자가 참여해 오류 발생 가능성 대책회의를 개최했으며, 28일 카드 투입부분을 막아 2자 비교 방식으로만 서류를 발급하도록 하는 공문을 시도에 배포했다.
지난 2000년부터 전국에 보급된 주민등록 등·초본 무인발급기는 1443대로 이 가운데 투입구가 사용되고 있는 발급기의 정확한 수는 파악되지 않고 있다.
신혜선기자@전자신문, shinhs@