'해킹 무방비' 카드 결제단말기(POS), 여전히 방치

판매시점관리시스템(POS) 결제단말기 운용체계(OS)의 보안 문제가 우려되고 있다. 서울 영등포 한 식당에서 사용되고 있는 POS 결제단말기. 김동욱기자 gphoto@etnews.com
판매시점관리시스템(POS) 결제단말기 운용체계(OS)의 보안 문제가 우려되고 있다. 서울 영등포 한 식당에서 사용되고 있는 POS 결제단말기. 김동욱기자 gphoto@etnews.com

식당 등 신용카드 가맹점에서 사용하는 판매시점정보관리시스템(POS) 단말기 수백만대가 대형 보안사고 사각지대에 놓인 것으로 지적됐다. POS 단말기 운용체계(OS)인 '윈도POS 레디' 서비스가 종료됐지만 전국 수백만 곳의 가맹점에서 여전히 윈도XP 기반 OS를 그대로 사용하고 있었다. 관련 업계에 따르면 윈도POS 레디 서비스가 4월로 종료됐지만 보안 패치와 OS 업데이트를 진행한 곳은 전국 가맹점 가운데 10%도 채 되지 않은 것으로 나타났다. 영세가맹점은 교체가 5%도 이뤄지지 않았다.

POS는 주로 백화점, 마트, 음식점 등에서 판매 관련 데이터를 관리하는 시스템이다. 주요 결제 정보 등은 암호화 조치를 완료해 큰 문제가 없다. 그러나 고객 정보 등 2차 가공 정보가 POS를 통해 유출될 가능성이 매우 짙다. OS나 응용 프로그램 업데이트가 제대로 이뤄지지 않으면 그대로 보안 위협에 노출된다. 실제로 POS에서 입력 값을 가로채는 '키로깅'이나 메모리에 접근해 특정 값을 유출하는 '메모리 스크래핑' 공격이 증가하고 있다. POS 기종도 뒤죽박죽 섞여 유통되고, PC에 정산용 소프트웨어(SW)를 깔아 불법으로 사용하는 곳도 부지기수다.

결제대행업체(VAN, 밴) 등을 통해 가맹점의 POS OS를 샘플 조사한 결과 80% 이상이 윈도 XP를 사용하고 있었다. 별도의 보안 지침도 없어 가맹점주들이 그대로 방치하고 있었다. 한 밴사 관계자는 “보안 패치 업그레이드 등을 안내했지만 강제 사항이 아니어서 기존 버전을 계속 사용하고 있다”고 분위기를 전했다.

그럼에도 금융 당국 주도로 전수 조사가 단 한 번도 이뤄지지 않았을 뿐만 아니라 POS 관련 보안 지침 자체도 없다. 보안업계는 POS OS를 지금이라도 업데이트하거나 보안 체계를 고도화해야 한다고 주장했다. 이보다 앞서 지난해 7월 윈도XP를 사용하고 있는 5만대 이상 결제단말기가 악성코드에 의한 서비스거부(DoS) 공격으로 먹통이 되는 사고가 발생했다. 당시 공격 당한 POS결제 단말기가 '마이크로소프트(MS) POS 레디'였다. 악성코드에 감염된 POS 기기만 5만대를 넘었고, 피해 신고가 늘어 약 10만대 이상 POS가 작동 불능 상태에 빠졌다. 한 보안업계 관계자는 “개인 정보가 전국 곳곳에 깔려 있는 POS 시스템을 통해 저장, 수집되고 있어 언제든지 해커의 표적이 될 공산이 크다”면서 “조속히 OS 업데이트 의무화를 해야 한다”고 강조했다.

길재식기자 osolgil@etnews.com