POS 시스템은 어떻게 신용카드 위조에 악용됐나

경찰청 김진환 수사관, 세미나 강연

일반입력 :2014/09/16 17:55

손경호 기자

몇 가지 정보와 특수기기만 있으면 위조된 신용카드를 통한 현금 인출이 가능하다는 우려가 계속되고 있다.

지난 4월 POS시스템에서 신용카드 정보를 빼내 만든 위조신용카드로 1억2천만원을 인출한 일당들이 검거됐다. 이들은 전국 85개 가맹점에 설치된 POS시스템으로부터 38만건의 카드 정보를 빼냈다.

16일 서울 삼성동 그랜드인터콘티넨탈 호텔에서 개최된 '제17회 디지털포렌식산업포럼 조찬세미나'에서 발표를 맡은 경찰청 사이버안전국 사이버범죄대응과 김진환 수사관은 마그네틱(MS) 신용카드를 사용하는 환경에서는 문제가 지속될 수밖에 없다고 밝혔다.

이날 김 수사관은 수사과정과 함께 범인들이 어떻게 POS시스템으로부터 정보를 유출시켜 위조신용카드를 만들 수 있었는지에 대한 보다 상세한 경과를 설명했다.범인들은 일반 가맹점이 운영하고 있는 POS시스템이 일반 인터넷망을 통해 결제정보를 밴(VAN)사에 전송한다는 점을 악용했다. 김 수사관은 일반 가맹점에서 결제 용도로만 써야할 POS시스템이 인터넷에 접속하거나 이메일까지 확인할 수 있을 정도로 허술하게 관리되고 있다고 지적했다. 결제 정보가 다뤄지는데도 불구하고, 별다른 보안조치가 취해지지 않고 있다는 설명이다.

범인들은 POS시스템과 통신하는 업데이트 서버를 해킹해 해당 POS시스템을 키로깅, 원격제어가 가능한 악성코드에 감염시켰다. 그 뒤 인터넷이나 이메일을 볼 수 있을 정도로 별다른 관리가 이뤄지지 않고 있는 POS시스템으로부터 카드정보를 탈취해 범인들이 구축한 별도 서버로 전송시킨 것이다.

신용카드결제 방식에도 문제가 있었다. 마그네틱 카드를 긁는 방식의 결제는 신용카드 뒷면에 마그네틱 부분에 저장된 트랙2 정보만을 활용한다. 김 수사관에 따르면 트랙2는 약 40킬로비트(kb)로 신용카드 번호, 발급일, 유효기간 등 정보가 포함돼 있다.

범인들은 중국 등지에서 약 10만원대에 거래되고 있는 특수기기로 마그네틱 부분에 유출시킨 정보를 입력해 위조신용카드를 만들었다.

마그네틱 카드는 트랙1에 약 79kb의 은행계좌정보가 들어가며, 트랙3에는 제휴사 정보 등이 저장된다. 범인들은 POS시스템이 이중 트랙2 정보만 있어도 결제가 가능하다는 점을 악용했다.

카드 비밀번호를 알아내기 위해서는 앞서 POS시스템에 설치한 키로깅이 악용됐다. 카드를 결제하면서 포인트를 적립하기 위해서는 포인트 카드용 비밀번호를 직접 입력해야 한다. 문제는 신용카드, 포인트카드에 같은 비밀번호를 쓰고 있는 사용자들이 많다는 점이다. 키로깅을 통해 사용자가 숫자 키패드로 입력한 비밀번호를 유출시킨 것이다. 위조신용카드와 비밀번호 정보는 상당히 고급정보로 암거래 시장에서 약 400만원에 거래되고 있다.

지난해 미국 대형유통업체 타깃 POS시스템 카드정보유출사건은 국내서 발생한 사건과 판박이다. 김 수사관은 마그네틱 카드를 IC카드로 교체하기만 하면 이러한 사건을 방지할 수 있다고 밝혔다.

IC카드는 마그네틱 부분에 카드정보를 저장하는 대신 암호화 알고리즘으로 보호되는 별도의 IC칩에 정보를 저장하고, 송신한다. 복제가 어려울 뿐만 아니라 POS시스템을 통해 정보를 유출시키더라도 암호화돼 있어 악용하기 쉽지 않다.

관련기사

이러한 확실한 대책은 정부가 2012년부터 'MS카드의 IC전환을 위한 종합대책'을 통해 밝힌 바 있다. 수천, 수만개에 달하는 POS시스템을 교체하고, 결제시스템에 사용되는 프로토콜도 바꿔야하는 탓에 만만한 작업은 아니다.

그럼에도 정부가 이미 내놓은 대책을 지지부진하게 집행하는 사이 타깃 사건 이후 국내에서 같은 수법의 사건이 발생했다. 국내 POS시스템 해킹사건이 충분히 막을 수 있었던 '인재(人災)'인 이유다.