최근 대규모 신용카드 정보 유출 사고가 국내외에서 발생하고 있는 가운데, 일반적인 검색 엔진으로는 찾을 수 없는 심층 웹인 '다크웹'에서 한국 카드 정보가 가장 많이 거래되고 있다는 분석이 나왔다.
보안업계는 다양한 카드 정보가 함께 유출된 점을 고려할 때, 판매시점정보관리(POS) 시스템에서 은행으로 정보가 전달되는 과정에서 해킹이 이뤄졌을 가능성에 주목하고 있다.
이에 따라 카드 결제 시스템 상의 보안을 강화하고, 향후 클라우드 보안에 보다 심혈을 기울여 대응해야한다는 지적이 나온다.
■건당 최대 24만원...POS 타고 카드 정보 흘러갔다
미국 보안 업체 제미니어드바이저리는 지난달 열린 세계 정보보안 행사 '블랙햇 USA 2019'에서 다크웹에서 유통되는 카드 정보 현황을 분석했다. 이에 따르면 누적 기준 100만여건의 한국·미국 카드 정보가 거래되고 있었다.
국내 결제 인프라가 취약해 정보 유출 경로로 악용됐다는 설명을 덧붙였다. 해커가 카드를 긁을 때 POS에 입력된 카드 정보를 탈취했다는 것.
유출된 정보 중 3.7%가 미국 카드 정보였다. 이에 대해서는 카드 소지자가 한국에 방문해 카드를 사용하면서 정보가 유출된 것으로 분석했다.
쉬운 유출 경로 때문에 정보 유출량은 갈수록 증가했다. 지난 5월 유출된 카드 정보 건수가 4만2천건에서 6월에는 23만건으로 443% 가량 증가했다. 또 7월엔 89만건을 기록했다. 카드 정보 시세는 최대 160~200 달러(약 19만~24만원)에 판매되기도 했다.
다만 EMV 규격이 적용된 카드는 이 해킹의 영향을 받지 않았다. EMV 규격은 카드와 결제 단말기에 적용이 가능한 국제 표준 지불 방법으로, 국제 규격이다. 유로페이와 마스터·비자가 첫 개발을 해 세 회사의 스펠링 첫 자를 따서 만든 명칭이다. IC칩을 사용해 복제가 어렵도록 하는 보안 기술이 탑재됐다.
■"클라우드 정보 유출·2차 피해 막는 보안 솔루션 필요"
제미니어드바이저리는 다크웹에서 판매되는 카드 정보는 불법 구매에 이용될 수도 있다고 설명했다. 금융 소비자들의 직접적인 금전 피해로 이어질 수 있다는 것이다. 이런 피해를 막기 위해선 어떻게 해야 할까.
EMV 규격 등 강력한 보안 기술이 적용돼 있는 카드를 이용하는 방법을 먼저 떠올릴 수 있다. 그러나 EMV 카드를 사용하더라도 정보 유출의 위협이 완전히 사라지는 것은 아니다. 해커가 금융정보가 담긴 시스템(공급망)에 대한 공격을 시도해 정보를 탈취할 수도 있기 때문이다.
국내에선 금융위원회가 올초부터 개인신용정보·고유식별정보 등 중요정보의 클라우드 이전을 허용하면서 금융 클라우드 도입이 급물살을 타는 상황이다. 자연히 신용카드 정보를 노리는 해커들의 관심도 클라우드로 쏠리게 될 전망이다.
막대한 금전적 피해를 불러올 수 있는 금융 클라우드에 대해 강력한 보안 모델이 도입돼야 한다는 주장이 제기된다. 글로벌 보안 벤더인 체크포인트의 이은옥 한국 지사장은 퍼블릭 클라우드 사업자가 제공하는 기본적인 보안 서비스만 활용하는 것은 한계가 있다고 강조했다.
클라우드가 책임 공유 모델로 운영되고 있다는 점을 이유로 들었다. 클라우드는 플랫폼에서 사용할 수 있는 보안 서비스를 제공하고, 고객사는 보안 정책을 설정하는 방식으로 보안 정책 운영이 미흡해 발생하는 피해는 고객사가 책임지게 된다.
이은옥 지사장은 "대규모 공격과 C2 접속 차단, APT 위험 분석 차단, 가상머신(VM)에 대해 뛰어난 가시성을 제공하는 등의 서드파티 보안 솔루션이 필요하다"고 언급했다.
관련기사
- 다크웹 서핑·암호화폐 거래, 이렇게 추적했다2019.09.04
- "금융권도 사용목적 고려해 멀티클라우드 도입해야"2019.09.04
- 美은행 캐피털원 해킹사건, 30개 기업·기관 피해로 확대2019.09.04
- 공공·금융 클라우드, 국수주의가 옳다2019.09.04
아울러 다크웹을 통한 개인정보 거래가 확산 조짐을 보이고 있는 만큼, 정보가 유출된 뒤 나타나는 2차 피해에 대비하기 위한 보안 솔루션도 필요해질 것으로 봤다.
이 지사장은 "국내외 전반적으로 아직 다크웹에서 발생할 수 있는 위험에 대비하는 솔루션을 갖춰야 한다는 인식이 부족한 편"이라며 "어떤 다크웹 사이트에서 정보 자산이 거래되고 있는지, 이미 2차 유출이 이뤄졌는지 등을 파악해주는 보안 서비스가 대안이 될 수 있다"고 말했다.