POS카드단말기 해킹 범죄의 표적...보안관리 “구멍”
POS카드단말기 해킹 범죄의 표적...보안관리 “구멍”
  • 문혜원 기자
  • 승인 2019.08.29 13:31
  • 댓글 0
이 기사를 공유합니다

지난7월 개인정보도난 57만건..업계“소비자피해없었다”
“각각 서비스업체 책임범위 필요..PCIDSS보안장치체계 의무화”제언
[이미지출처 = 게티이미지뱅크]
[이미지출처 = 게티이미지뱅크]

[토요경제 = 문혜원 기자] 최근 구형POS카드단말기로 인한 해킹·개인정보 도난사건이 발생되면서 국내 카드사·단말기업체의 취약한 보안 관리체계 문제가 도마에 올랐다. 이에 해킹사고에 대한 책임분명 소지와 단말기 관리 업체의 보다 강화된 보안 의식이 필요하다는 지적이 제기됐다.

29일 금융권에 따르면 여전히 구형POS카드단말기로 인한 개인정보유출사건 피해가 발생되고 있다는 점에서 정확한 책임소재 파악과 이에 대한 법적인 처벌강화, 해킹을 막을 수 있는 보안관리 체계를 더 강화해야 한다는 의견들이 나온다.

실제로 금융감독원이 지난달 구형 신용카드 결제단말기(POS)를 통해 일어난 해킹사건을 집계한 결과, 총 57만개에 이르는 신용카드와 체크카드의 번호와 유효기간이 유출된 것으로 확인됐다.

유출된 카드정보는 카드번호와 유효기간으로 2014년 4월 POS결제단말기 통해서 해킹 된 것으로 파악됐다. 또 최근 3개월간 도난 된 카드 중 64장(0.01%)의 카드에서 2475만원 상당이 부정 사용된 것으로 나타났다..

최근에는 한 식당을 통한 POS 단말기를 통해 신용카드에 저장된 개인정보가 대량 유출돼 경찰이 수사 중에 있다. 하지만 카드사들은 개인정보가 유출돼도 소비자에게는 피해가 가지 않았다는 설명이지만, 소비자들의 불안은 고조되고 있다.

금융감독원은 POS단말기 통해 해킹사건이 빈발하자, 신 단말기인 IC카드 도입 의무화를 지난 2015년에 의무화했다. 이후 금융위원회는 2018년 7월까지 가맹점도 IC단말기로 교체하도록 여신전문금융법 시행령 개전안을 입법예고했다.

개정된 여전업법 조항에 따르면 전국 신용카드 가맹점 65만대 카드단말기는 IC카드 겸용으로 의무 교체해야 한다. 만약 가맹점이 미등록 단말기를 설치·이용해 과태료를 부과받은 뒤에도 계속 설치하지 않으면 신용카드사가 가맹점 계약을 해지토록 의무화했다.

현재 여신전문금융업법에 따르면 해킹·전산장애·정보유출 등 부정한 방법으로 얻은 신용카드정보를 이용한 부정사용에 대해서는 신용카드업자가 책임을 부담하도록 돼 있다.

일각의 전문가들은 해킹사건은 카드대행업체, 벤사, 카드사 모두에게 있으므로 책임범위를 명확하게 해야 한다는 지적이 나온다. 특히 포스단말기는 가맹점들이 여전히 사용하고 있다는 점에서 보안위협이 크다는 부분을 우려했다.

한 보안업계 관계자는 “현재 단말기의 경우 가맹점들이 알아서 관리하는 체계이므로 소프트웨어 업데이트 파악이나 보안실태가 전혀 파악되지 않고 있다”면서 “또한 카드사들도 카드대행업체만 맡기고 있다보니 관리가 소홀한 측면이 있다”고 지적했다.

이에 신용카드 정보유출을 최소화하기 위한 해법으로 국내 카드사들 또는 정부가 국제카드기구 보안규정인 PCIDSS(정보보안관리 체계)를 준수하도록 의무화해 관리감독과 함께 보안체계를 강화해야 한다는 의견이 제시됐다.

이재현 한국금융연구원 카드연구위원은 “고객의 정보를 보호하기 위한 보안 규정인 PCIDSS를 마련, 모든 가맹점과 카드사, 서비스 사업자가 이를 준수하도록 적극 권장해야 한다”고 제언했다.

PCIDSS(Payment Card Industry Data Security Standard)는 지불결제산업 정보 보호 국제표준이며, 비자카드와 마스터카드가 지난 2001년 신용카드 정보 및 거래정보를 보호하기 위해 마련한 국제 보안 프로그램이다.

PCIDSS는 아멕스, JCB, 다이너스 등 5대 국제 브랜드 카드사가 PCIDSS에 참여, 각 브랜드별로 별도 보안 프로그램을 적용중이다.

그러나 국제카드 보안기구 협의체(PCIDSS)에 가입하려면 기업이 실사에 대한 비용을 별도로 부담해야 한다는 측면 때문에 현재 국내 카드사들은 꺼려하고 있는 실정이다.

또한 가입이 돼도 카드사의 보안관리 선에서만 관리하고 있다는 점에서 전체 보안관리감독은 어려운 형국이다.

PCIDSS는 신용카드 데이터 보호를 위한 12가지 요구사항을 제시하고 있다. ▲안전한 네트워크 관리를 위한 방화벽 구축 ▲기본 비밀번호 변경 ▲보관된 신용카드 정보 관리 및 암호화 ▲안티 바이러스 소프트웨어 사용 ▲애플리케이션의 지속적 관리 ▲철저한 정보접속권한 부여 ▲정기적 보안시스템 점검 등이 포함된다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.