프랜차이즈와 유통업체 가맹점 등에서 사용되는 결제단말기(POS기기)에 대한 D·DOS 공격과 악성코드 공격이 이어지면서 보안에 대한 우려가 커지고 있다.
9일 한국인터넷진흥원(KISA)은 최근 다수의 국내 POS 업체에서 해킹 등 사이버 침해사고를 접수받아 원인을 분석하고 있다고 밝혔다.
이러한 문제는 지난 1일부터 발생했다. 관련업계에서는 윈도우 XP 기반의 포스레디 2009 시스템에서 인터넷 연결이 안되는 등 디도스(D·DOS, 분산서비스거부공격)에 의한 것으로 추정하고 있다.
POS기에는 고객 이름과 카드번호, 카드만료날짜, CVC·CVV 비밀번호, 매출, 거래내역 등 중요 정보를 다수 포함돼있다. 해당 정보가 탈취될 경우 이를 활용해 소비자 자산이 유출될 위험성도 있다.
다행히 프랜차이즈업계에서는 이번 디도스공격 등으로 개인정보 등이 유출된 것은 없는 것으로 보고 있다.
다만 POS단말기 운영체제가 오래돼 업데이트 지원이 종료된만큼 위험에 무방비로 노출될 수밖에 없는 상황이다. 특히 지난해 말 악성코드 대란과 지난해 5월 랜섬웨어 논란 등에 지속적으로 노출되면서 사실상 ‘답이 없다’는 우려가 나오고 있다.
현재 국내에서 사용하는 POS시스템 운영체제의 경우 크게 윈도우즈 XP 계열 OS인 포스레디 2009와 윈도우즈 7 계열인 포스레디7, 그리고 윈도우즈 XP에 자체 프로그램을 설치해 사용하는 경우로 나뉜다.
문제는 윈도우즈 XP의 경우 2014년 4월 보안패치를 비롯한 업데이트 지원이 종료됐다는 점이다. 포스레디 2009의 경우 2019년, 포스레디 7은 2021년 지원이 종료된다.
대부분의 프랜차이즈 가맹점에서 사용하는 POS기의 경우 윈도우 XP를 기반으로 사용하고 있기 때문에 최신 악성코드와 D·DOS 등의 공격에 취약할 수밖에 없다. 또한 POS기 운영 소프트웨어 자체가 최신 OS와 연동되지 않는다는 문제도 있다.
OS와 소프트웨어를 마이크로소프트사의 패치 등이 지원되는 최신 버전으로 업그레이드 또는 교체하면 일차적인 문제는 해결되지만, 가맹본사에서는 이를 결정할 수 없다.
현재 POS기는 밴(VAN) 대리점이 가맹점에 설치해고 관리비 등 수수료를 받는 구조다. 밴사와 POS기기, 통신망 등이 연계돼있다보니 자체적으로 OS를 교체할 경우 호환이 안돼 사용 자체가 불가능해진다.
관련업계에서는 사실상 보안 문제에 무방비하게 노출돼있는 만큼 정부차원의 대책마련이 시급하다고 입을 모은다.
프랜차이즈업계 관계자는 “OS·소프트웨어 업그레이드의 경우 POS 관리업체에서 해야 하는 부분”이라면서 “시간, 인력을 핑계로 차일피일 미룬다면 본사 입장에서는 할 수 있는 일이 없다”고 말했다.
또 다른 관계자는 “최근 밴 수수료가 정액제에서 정률제로 바뀌는 등 변화가 있다보니 밴 업체에서도 수익이 줄어 인력감축 등 긴축재정을 이어가는 곳이 많다”면서 “이런 상황에서 OS 업그레이드 등에 신경쓸 여력이 없는 것도 사실”이라고 말했다.
이어 “이번 사태의 경우 큰 피해는 없었지만 현재로서 막을 방법이 없다는 것은 문제”라면서 “정부차원에서 POS기기 보안에 대해 들여다보는 대책이 필요하다”고 덧붙였다.
조현우 기자 akgn@kukinews.com