美 타깃, 고객정보유출 사고 후 보안 전략 전면 수정

일반입력 :2014/04/30 10:22

손경호 기자

지난해 말 POS시스템 해킹으로 수천만 건 고객 신용카드 정보가 유출된 미국 대형유통업체 타깃이 최고정보책임자(CIO)를 교체하고, 대대적인 복구 작업에 들어갔다.

29일(현지시간) 미국 지디넷 등 외신에 따르면 타깃은 베스 제이콥 전 타깃 CIO를 해임하고 밥 디로드 CIO를 새로 선임해 대형 정보 유출 사고 이후 보안강화 작업에 나섰다.

디로드 CIO는 2000년대 초 미국 가정용 건축자재 유통업체인 홈데포 CIO로 근무했으며, 이보다 앞서 델타 항공, 시티뱅크 등에서 IT책임자로 몸담았다. 그는 미국 국토안보부 자문역을 맡기도 했다.

앞으로 디로드 CIO는 타깃 기술팀과 운영전반을 총괄하며, 장기 디지털 로드맵과 보안 향상을 위한 대책을 개발 중이다. 타깃은 현재 최고보안책임자(CISO)를 물색하는 중이다.

디로드는 타깃이 보안을 위한 5가지 지침을 마련했다. 대형 사고 이후 미국 기업들이 어떻게 움직이는지 엿볼 수 있는 대목이다.

타깃은 먼저 모니터링을 강화한다. 이 회사는 추가적인 보안정책, 경고, 관련 로그를 중앙집중적으로 관리한다.

두번째는 문제가 된 POS시스템은 미리 지정된 프로그램만 구동되고 나머지는 차단하는 '화이트리스트' 방식으로 운영된다. POS단말기, 관련 서버 등이 여기에 해당한다.

세번째로 POS 관리툴을 개발해 네트워크 상 방화벽을 거치는 트래픽을 면밀히 살펴본다.

네번째는 업체 접근 범위를 최소화 하고, 역시 모니터링을 강화한다. 유출 우려가 있는 서버에는 각 지점에서 접속하지 못하도록 한다. 또한 일부 지정된 지점에서는 FTP, 텔넷 등을 통해 서버에 연결하는 것이 금지된다.

마지막으로 타깃 직원 및 계약자 44만5천명에 대한 비밀번호를 바꾼다. 2팩터 인증, 비밀번호 길이 확장, 지점 내 공통 계정 사용 금지, 특정 계정들에 대한 권한 축소, 비밀번호 관리에 대한 교육 등이 진행된다.

이와 함께 타깃은 마스터카드와 협력해 '칩 앤 핀(chip and PIN)' 기술을 적용한 '레드카드'를 재발급한다. 2015년 초부터 도입될 예정인 이 카드는 기존 타깃 신용카드, 현금카드를 대체하며, 마스터카드가 제공 중인 칩 앤 핀 솔루션을 사용할 수 있다. 오는 9월까지 미국 전역 1797개 매장에 이 기술을 활용한 레드카드 기반 결제 시스템이 도입된다.

이 방식은 그동안 정보유출을 통한 카드 복제가 가능해 문제가 됐던 마그네틱 카드 대신 보안기술을 적용한 IC칩을 사용했으며, 결제시 서명 대신 4자리 별도 비밀번호를 입력하도록 해 보안성을 높였다.

칩 앤 핀은 유로페이, 마스터카드, 비자가 IC카드 운영을 위해 만든 EMV카드에 적용된 기술이다.

관련기사

올해 초 타깃은 1억달러를 투자해 레드카드에 적용되는 칩 앤 핀 기술과 함께 이를 지원하는 소프트웨어 및 결제 기기를 개발했다.

이와 함께 3월 타깃은 금융 서비스 정보공유 및 분석센터(FS-ISAC)에 가입했다. FS-ISAC는 비영리 기관으로 금융서비스 산업 내 사이버 공격, 사기행위를 탐지, 방지하는 역할을 한다.