윈도우XP 지원종료 초읽기! ‘POS 단말기’ 보안대책 있나?

고객 신용카드 정보 저장돼 있어 정보유출 위험 커

표준화된 보안 솔루션 개발해 POS에 설치해야

[오는 4월 9일 윈도우 XP 서비스가 중단되면 윈도우 XP 기반으로 운영되는 대부분의 ATM(현금자동입출금기, Automated Teller Machine) 및 POS(판매시점 관리 시스템, Point of Sales)를 겨냥한 보안위협이 확대될 것으로 보인다.

특히 POS는 국내 식당·유통할인 마트·백화점 등에서 신용카드로 물건을 살 때 대부분 활용되고 있다. 

국내 POS시스템 OS의 경우에도 윈도우XP Professional(2014. 4 보안패치 등 서비스 종료), 윈도우 XP Embedded(2016년 종료), 윈도우 XP POSReady(2019년 종료) 등을 사용하고 있다.

이 POS 단말기에는 고객정보 판매 상품 정보와 함께 신용카드 결제정보가 저장되기 때문에 최근엔 금전적 이득을 노리는 해커에게 주요 공격 대상이 되고 있다. 최근 국내 주요 카드사·이통사에서 대량의 고객정보가 유출되어 온 나라가 떠들썩하다. 이는 POS에서도 충분히 가능하다. 만약 POS에서 고객 신용카드 정보가 유출된다면 그 파장은 더욱 커질 것으로 예상된다.

이에 대응하기 위해서는 최신 OS로 업그레이드하거나 향후 예상되는 보안위협에 대비할 수 있는 보안 전략과 시스템을 갖춰야 한다.

이와 관련 시만텍코리아 윤광택 이사는 “시만텍의 딥사이트(DeepSight) 데이터베이스에 따르면 2013년 1월부터 약 1년 동안 총 281개에 달하는 XP 취약점이 꾸준히 발견됐다. 서비스가 종료되는 4월 9일 이후부터 마이크로소프트가 더 이상 패치를 제공하지 않게 되면 윈도우 XP 기반의 시스템들은 향후 새롭게 발견되는 취약점에 대해 무방비로 노출되어 더 큰 보안위협에 직면하게 될 것으로 예상된다”고 말했다.

현재 POS 시스템 상에 기록되는 전체 매출의 약 60%가 신용카드나 직불카드를 통해 이루어지고 있다. 다양한 형태의 결제방식을 지원하기 때문에 보안 측면에서는 보다 각별한 주의가 필요하다. 현존하는 대부분의 POS 시스템이 윈도우XP 임베디드 OS를 활용하고 있어 윈도우XP 업데이트 지원이 종료되면 향후 보안취약점에 노출될 가능성이 높을 수 밖에 없는 이유다.

특히 전 세계적으로 95% 이상이 윈도우XP를 기반으로 운영되는 산업용 시스템이나 ATM, 그리고 대부분 윈도우XP 임베디드 OS를 활용하고 있는 POS에 대한 대비가 시급하다.

해외의 경우 지난해 12월 미국의 대형 유통할인 마트 타겟(Target)에서 약 1억 1,000만건 이상의 카드결제 정보(고객이름, 카드번호, 카드만료 날짜, CVC·CVV 비밀번호 등)가 유출되는 사고가 발생했다. 

이 사고에 대해 미국의 보안회사 iSIGHT Partners는 러시아 해커가 개발한 ‘KAPTOXA’ 악성코드가 타깃에 설치된 POS를 감염시켜 신용카드 정보를 유출시킨 것이라고 발표했다.

사고 발생 한달 후인 지난 1월에는 미국 보안회사 RSA는 POS에서 작동하는 신종 악성코드 ‘ChewBacca’를 발견했다고 밝혔다. 이 악성코드는 구매자가 POS를 통해 마그네틱 카드로 결제하는 순간 카드번호, 카드만료 날짜, CVC번호 등의 정보를 읽어 탈취한다.

 

▲ Target 결제 카드 정보 유출 사고 개요도(출처: KISA 인터넷침해대응센터).

악성코드는 이렇게 탈취한 정보를 추적이 불가능한 익명 네트워크(Tor)를 통해 해커에게 전송했다. 이 악성코드는 미국뿐만 아니라 러시아, 캐나다, 호주 등 11개 국가에서 광범위하게 발견됐다.

윤광택 이사는 “이와 같은 ATM 및 POS를 겨냥한 보안 위협에 대비하기 위해서는 △방화벽이나 침입방지 시스템과 같은 기업망을 위한 네트워크 보안 강화 △엔드포인트를 보호하기 위한 강력한 보안 소프트웨어 설치 및 철저한 운영 △데이터 암호화 △비인가된 프로세스의 실행을 방지하는 솔루션 등 다양한 보안 요소를 활용할 수 있다”고 설명했다. 

하지만 그는 “무엇보다 하나의 강력한 보안 툴을 사용하기 보다는 다양한 계층에 정보보호 및 보안 시스템을 갖추는 것이 가장 우선되어야 한다”고 강조했다.

또한 KISA 관계자는 “국내 대부분의 POS 단말기는 보안에 취약한 윈도우 XP 임베디드 버전을 OS로 사용하고 있고 항상 인터넷에 연결되어 있기 때문에 앞으로 보안위협은 계속 증가할 것”으로 전망했다.

이와 같은 상황에서 POS로 인한 정보유출 사고에 대응하기 위해서는 △POS 단말기의 업무 외 인터넷 사용 금지 △카드사와의 통신과 같은 목적의 IP 및 포트를 제외한 모든 통신라인 통제·차단 △POS 단말기와 서버간의 통신에 있어 송수신 되는 데이터 암호화 등이 필요하다고 KISA 측은 강조했다.

장기적으로 봤을 때는 △POS단말기의 OS 업그레이드 및 관리 SW 보안패치 적용 △보안 솔루션 설치 △IC카드 교체 등이 필요하다. 하지만 대부분의 POS 단말기 사용 업체들은 비용문제를 들어 OS의 업그레이드나 보안 솔루션 설치에 난색을 표한다. 더구나 OS를 업그레이드하고 보안 솔루션을 설치한다고 해도 완전한 보안은 아니다. 이에 근본적으로는 표준화된 보안 솔루션을 개발해 POS에 설치하도록 해야 한다는 게 KISA 측의 설명이다. 

국내의 경우에도 지난 2010년 해외에서 해킹당한 POS 단말기에 악성코드가 유포되면서 10만여개의 신용카드 정보가 유출되는 등 지속적인 보안위협에 노출되고 있다. 이에 우리나라에서는 지난 2011년 POS 단말 보안 요구사항을 제정했지만 제대로 지켜지지 않고 있다.

이처럼 윈도우XP서비스 종료에 따른 다양한 보안위협이 예상된다. 특히 POS 단말기는 보안에 취약한 만큼 철저한 보안관리 체계가 요구되고, 정보유출 사고 예방을 위한 노력과 관심이 필요하다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>