지난해 미국에서는 타깃, 니만마커스, 이베이 등 온-오프라인 대형유통업체에서 사용자들의 신용카드 정보 수천만건이 유출되는 해킹사건이 발생해 떠들썩했다. 국내에서도 유사한 수법을 쓴 신용카드 위조범들이 검거된 사건이 발생하면서 보안성을 한층 높인 카드 발급에 대한 수요가 늘어나고 있다.
기존 전자기적인 방법으로 카드정보를 저장하는 마그네틱 카드의 경우 범죄자들이 손쉽게 훔친 카드정보를 악용해 복제카드를 만들 수 있다는 점이 문제로 지적돼 왔다. 이미 위조용 카드발급기 또한 암암리에 거래되고 있는 실정이다.
보안인증솔루션 전문기업인 HID글로벌에 따르면 이를 해결하기 위해 유로페이, 마스터카드, 비자와 같은 글로벌 신용카드 3사는 마그네틱 부분 대신 별도의 IC칩에 정보를 저장해 불법복제가 사실상 불가능하도록 하는 'EMV카드'를 대안으로 제시하고 있다. 국내에서는 IC카드라는 이름으로 알려진 방식이 그것이다.
우리나라의 경우 정부가 2004년부터 마그네틱 카드를 EMV카드(IC카드)로 전환하는 사업을 추진해왔다. 금융감독원 조사에 따르면 9월 말 기준 전체 전환율은 97.9%에 달한다.
EMV카드는 IC칩 안에 암호화된 형태로 결제나 현금인출 등에 필요한 카드정보를 저장하기 때문에 일반적인 카드정보가 유출된다고 해도 이를 악용한 불법복제한 EMV카드를 만드는 일이 어렵다.
금융감독원 상호여전감독국 홍경표 팀장은 ATM에서 현금을 뽑는 용도로 사용되는 현금카드의 경우 이미 작년에 IC카드로 전환을 끝냈고, 올해 9월부터 신용카드를 통한 현금서비스 등을 이용할 때에도 시범운영을 거쳐 내년 3월부터 IC카드만 쓸 수 있도록 한다는 방침이라고 밝혔다.
국내의 경우 이미 대부분 금융사들이 마그네틱 카드를 IC카드로 전환했으나 아직까지 이들 카드를 통한 결제가 가능한 가맹점은 절반 정도 수준에 머무르고 있다.
현재 이같은 방식으로 카드를 교체하는 사업은 우리나라 뿐만 아니라 캐나다, 영국, 미국 등에서도 증가하는 추세다. 캐나다는 2008년 EMV카드 도입 이후 직불카드의 부정 사용이 상당히 감소했으며, 영국은 2004년부터 이를 도입해 마그네틱 카드로 제작된 신용카드, 현금카드에서 직접 정보를 훔쳐내는 카드 스키밍(skimming)이 감소하고 있다.
유럽, 아시아 지역에 비해 EMV 채택이 늦은 미국의 경우 지난해 대형마트 POS시스템 해킹을 통한 대형 카드정보유출사고가 터지면서 EMV카드와 단말기 채택을 확대하고 있다. 비자, 마스터카드는 2015년 10월까지 미국 내 카드 판매업체와 발급기관을 대상으로 기존의 마그네틱 카드를 EMV칩을 적용한 '칩앤핀(Chip-and-PIN)' 방식카드로 교체를 유도하는 중이다. 칩앤핀은 EMV칩을 단말기가 인식한 뒤에 서명 대신 비밀번호를 입력토록하는 방식이다.
더 안전하게 EMV카드를 발급, 사용하기 위해 HID글로벌 소속 아이작 영 비즈니스 개발 매니저는 카드 발급기관인 은행, 신용조합, 대리점들이 카드검증과 발급시스템 보안에 '다층 접근법'을 적용해야 한다고 밝혔다.
그에 따르면 여기에는 다층 카드 검증, 다층 발급시스템 보안이라는 두 가지 방법이 활용된다.
다층 카드 검증은 우리나라 주민등록증에서 볼 수 있는 것과 같이 고해상도 이미지, 홀로그램 오버라미네이트 패치, 레이저로 새긴 문양 등과 신용카드 IC칩 속 결제정보를 결합하는 카드 검증시스템을 말한다.
이러한 요소들은 발급기관별로 다른 암호화키를 통해 암호화되기때문에 사실상 위조 EMV카드를 악용한 결제가 거의 불가능해진다는 설명이다.
다층 발급시스템 보안은 물리적인 보안과 전자적인 보안을 통칭하는 개념이다. 먼저 카드 프린터(카드 발급기)의 입출력장치나 카드 호퍼(카드 천공기나 카드 판독기에서 그 장치에 공급하는 카드를 쌓아 축적해 놓은 장소), 리본과 필름 및 다른 소모품 장치들을 열지 못하도록 막아놓아 허가되지 않은 접근을 제한하는 물리적인 보안이 필요하다.
관련기사
- POS 시스템은 어떻게 신용카드 위조에 악용됐나2014.12.31
- 이통사, 신용카드 해외 부정사용 방지 나서2014.12.31
- POS에서 카드 정보 훔치는 악성코드 등장2014.12.31
- POS 시스템, 해커들의 놀이터?2014.12.31
또한 비밀번호를 이용한 관리자 접근 제한 설정 및 모든 출력 작업 시 고급 암호화 모드를 설정하는 전자적인 보안도 필요하다.
HID글로벌의 경우 이러한 보안기능을 도입하기 위해 'FARGO HDPii Plus'라는 EMV카드 전용 카드 프린터를 공급 중이다. 회사 측은 특히 AES256 데이터 암호화, 카드를 출력한 뒤에 블랙 리본에 남아있는 사용자의 주민번호, 사번, 이름, 발행일 등 개인정보를 자동으로 제거하는 기능, 카드 생산 시간을 단축시키는 인라인 인코딩 기능 등을 제공한다.