카드정보 유출에 경찰·금감원 ‘핑퐁’ 논란…대응체계 만들었다

국내 포스(POS) 업체 해킹으로 대규모 카드정보가 유출된 것으로 드러났다. 그러나 서울지방경찰청과 금융위원회가 업무 권한을 두고 세달 째 시간을 끈 것으로 전해지면서 논란이 일었다. 금융위원회, 서울지방경찰청, 금융감독원은 이번 사건을 포함해 앞으로 유사한 사건이 발생할 경우, 세 기관의 인력이 모두 참여하는 태스크포스팀(TFT)을 꾸려 공동 대응하기로 했다.

지난 15일 금융위원회와 서울지방경찰청, 금융감독원은 개인정보 수사 공조를 위한 회의를 개최하고, 기관간 의견 조율 등을 논의했다. 이날 세 기관은 경창청이 압수한 외장하드 분석을 위해 금감원이 인력파견을 하는 등 협력하기로 했다. 또 앞으로 유사 사건 발생 시 TFT를 꾸려 공동 협력, 대응하기로 했다. 다음날인 16일에는 세 기관의 실무자들과 여신전문협회 등이 모여 협력을 위한 구체적인 논의를 진행했다.

최정옥 서울지방경찰청 보수5대장 경정은 “회의를 통해 경찰과 금융기관이 공조를 하기로 했다”며 “경찰이 수사를 진행하면, 금융기관 쪽에서 인력을 파견해주는 등 공동으로 문제 해결에 나서기로 했다”고 밝혔다.

TFT의 공조 방식은 이렇다. 경찰청이 외장하드 등 증거물을 분석한 뒤, 결과를 금감원에 넘긴다. 금감원은 데이터베이스(DB)를 카드사별로 분류해 각 카드사별에 피해사례를 통보하는 등 예방조치에 나선다.

경찰청 측은 이번을 계기로, 앞으로 유사 사건이 발생할 경우 협의 내용대로 관계기관과 공조할 계획이라고 밝혔다.

포스업체 서버 해킹…경찰청 “가맹점 대상으로 백신 공급”

서울지방경찰청 보안수사대는 지난해 6월 구속된 해커의 추가 범행 등을 통해 1.5테라바이트(TB) 분량의 두 외장하드를 압수했다. 분석 결과, 61GB 분량의 카드정보 등 개인정보가 저장되어 있는 것으로 드러났다.

서울지방경찰청에 따르면, 알려진 것과 달리 특정 포스업체의 서버만 해킹됐다. 은행의 자동입출금기(ATM), 멤버십 가맹점의 서버는 해킹되지 않았다. 해커는 포스업체와 연결된 가맹점 단말기의 카드정보를 빼돌렸다. 카드정보는 카드번호, 유효기간, 비밀번호 등이 포함되어 있으며, 2017년 기준 정보로 전해진다.

현재 서울지방경찰청은 금융위원회와 금융감독원과 협력해 압수한 회장하드를 분석하고 있다. 서울지방경찰청 관계자는 “구체적인 것은 조사 중이라 알 수 없다”고 밝혔다.

아울러 서울지방경찰청은 최근 해당 포스업체의 포스기를 이용하고 있는 가맹점을 대상으로 백신을 배포했다. 국내업체에서 개발한 백신은 이번 해킹에 사용된 악성코드를 진단, 치료하며 무료로 배포됐다.

서울지방경찰청 관계자는 “현재로서 할 수 있는 조치는 다 취했다”고 전했다. 또 다른 관계자는 해커가 빼돌린 개인정보 악용 사례 여부에 대해 “특별히 부정결제가 늘어나지 않은 것으로 파악된다”고 말했다.

분석결과를 바탕으로 금융당국과 경찰청은 금융회사와 협조해 부정방지사용시스템(FDS) 가동 강화 등 긴급조치를 시행할 계획이다. 금융위는 “관계기관 간의 적극적인 협력을 통해 필요한 소비자 보호조치 등을 앞으로 신속하게 진행할 계획”이라고 밝혔다.

해커, 포스업체 해킹은 ‘공급망 공격’으로

국내 보안업체 이스트시큐리티 분석에 따르면, 이번 공격은 중국에서 만들어진 악성코드를 활용한 공급망 공격으로 추정된다. 공급망 공격이란, 소프트웨어(SW) 개발사의 네트워크에 침투해 소스코드에 악성코드를 삽입하거나, 배포를 위한 서버에 접근해 파일을 변경하는 방식이다. 대표적으로 SW업데이트를 악용해 공격이 이뤄진다.

앞서 지난 3월 이스트시큐리티는 서울지방경찰청의 의뢰를 받아 이번 사건에 대한 분석을 맡았다. 회사의 분석 결과, 해커는 특정 포스기 업체의 서버를 해킹해 개인정보를 빼돌린 것으로 나타났다.

해커는 중국산 악성코드 ‘고스트렛’을 활용했다. 고스트렛은 원격제어 악성코드로, 설치되면 모든 권한이 해커에게 넘어간다. 해커는 고스트렛을 포스 악성 프로그램으로 특화시켰다. 커스터마이징을 통해 개인정보를 빼낼 수 있도록 재가공했다. 그런 다음 포스업체의 서버를 해킹해 침투한 뒤 SW가 업데이트할 때 자신이 만든 악성코드가 설치되도록 한 것으로 추정된다.

회사 측에 따르면, 해킹된 포스업체는 마트, 편의점, 백화점 등 상당수의 가맹점을 확보하고 있는 것으로 파악된다. 카드정보를 활용한 실물카드 복제, 부정결제 등이 우려된다.

아울러 한 번에 여러 곳의 해킹 시도를 하는 해커들의 특성상, 해당 포스업체 외에도 타 포스업체의 해킹 가능성도 제기되고 있다. 문종현 이스트시큐리티 이사는 “해커는 한 번에 큰 이득을 얻기 위해 일반적으로 여러 곳의 해킹 시도를 한다”며 “다수의 포스업체 해킹 가능성을 배제할 수 없다”고 전했다.

문 이사는 가맹점들의 포스기 백신 프로그램 설치를 강조했다. 포스기를 타겟으로 한 악성코드 공격이 늘어나고 있다. 문 이사는 “대부분의 가맹점에서 포스기에 백신을 설치하지 않아 감염 여부에 대해 인지하지 못할 수 있다”며 “포스기를 사용하는 가맹점들이라면 영업 종료 이후 백신을 설치해 악성코드 검사를 하는 것을 권장한다”고 당부했다.

글. 바이라인네트워크
<홍하나 기자>0626hhn@byline.network

첫 댓글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다