지난 3월 ATM 악성코드 감염은 시작에 불과, POS 등 다른 기기도 사고 발생 가능성 높아

[컴퓨터월드] 지난 3월 20일 편의점, 대형마트 등에 설치된 ATM 일부가 악성코드에 감염돼 문제가 됐다. 금융감독원과 경찰 등 금융당국은 빠른 조치를 취했지만 약 2,500여 개의 카드정보가 유출된 것으로 알려졌다. 중국, 태국 등 해외 ATM을 통한 부정인출이 시도됐으나 승인과정에서 차단됐으며, 대만 등에서는 300만 원 정도가 부정인출된 것으로 확인됐다. 이밖에 국내에서 위장 가맹점 등을 통한 카드 부정승인도 일부 있었다고 한다. ATM을 포함한 각종 산업용 기기에 보안 강화 필요성이 제기되는 이유이다.


ATM 정보유출 사고 발생

3월 20일 금융감독원은 편의점, 대형마트 등에 설치된 ATM 일부가 악성코드에 감염된 것으로 확인됐다고 밝혔다. 청호이지캐쉬가 운영하는 63개 ATM에서 악성코드 감염이 확인됐고 이를 통해 약 2,500여 개 카드정보가 유출됐다.

▲ 청호이지캐쉬 ATM

금감원은 악성코드 감염이 사실로 밝혀지자 63개 ATM기기를 이용한 적이 있는 카드정보를 즉시 35개 해당 금융사에 전달하도록 조치했으며, 금감원은 사고즉시 금융권 회의를 소집해 해외 ATM에서 해당 카드정보를 이용한 마그네틱 카드의 현금인출을 차단하는 등 인증을 강화하고 신용카드 부정승인에 대한 모니터링을 강화하도록 조치했다.

나름 빠른 조치를 취했음에도 피해는 있었다. 중국, 태국 등 해외 ATM을 통한 부정인출이 시도됐으나 승인과정에서 차단됐으며, 대만 등에서는 300만 원 정도가 부정인출된 것으로 확인됐다. 이밖에 국내에서 위장 가맹점 등을 통한 카드 부정승인이 일부 있었던 것으로 확인됐다. 씨티카드 등은 금융당국의 지침에도 불구하고 거래정지 조치를 취하지 않아 고객 28명의 계좌에서 돈이 부당 인출되기도 했다.

금감원은 은행 및 카드사에게 정보유출 가능성이 높은 것으로 파악된 고객에게 카드 재발급 또는 비밀번호를 즉시 변경할 것을 개별 안내토록 지도하며 추가사고 발생 방지 및 보안강화를 위해 금융회사, 금융보안원과 공동으로 VAN사에 대한 특별점검에 착수했다.

한 관계자는 이번 사고에 대해 “ATM기 내부에 암호화되지 않은 평문 로그를 남긴 것이 문제가 됐다”며, “청호의 ATM이 로그를 평문으로 저장한다는 것을 알고 있는 내부자나 퇴사자 등 관계자가 범행에 가담했을 가능성이 있다”고 언급했다.

ATM의 백신 업데이트 서버를 통한 공격 가능성도 제시됐다. 안티바이러스 솔루션의 업데이트 서버의 취약점을 공격해 이를 이용했을 가능성이 있다는 의미다. 2013년 3·20 사이버테러 때도 백신업데이트 서버의 취약점을 통해 해커가 금융 폐쇄망에 접속했던 사실이 있다. 한 업계 담당자는 이번 사고도 이와 유사한 방식이 이용됐을 가능성이 있다고 언급했다.

금융회사로부터 카드정보 유출 가능성이 높다고 안내받는 경우엔 안내에 따라 카드를 교체하거나 비밀번호를 변경해야 한다. 추가사고 발생 방지 및 보안 강화를 위해 금감원은 금융회사와 금융보안원 공동으로 모든 VAN사에 대해 특별점검을 착수했다. 이후 VAN사가 외부 침해에 대비해 금융회사에 준하는 보안대책을 마련할 수 있도록 제휴 금융회사를 통해 적극 지도할 계획이다.


각종 기기 보안 강화 필요성 대두

보안업계에서는 이번 정보유출사고를 계기로 산업용 기기 전반의 보안을 재점검해야한다고 강조했다.

ATM과 마찬가지로 다양한 산업용 기기가 사실상 악성코드에 취약한 상황이다. 보안업계는 이번 사고의 원인으로 ▲보안 업데이트가 중지된 윈도우XP의 사용 ▲전용망이 아닌 인터넷망을 통한 정보전송 ▲자주 이뤄지지 않는 기기/시스템 교체 및 업데이트 ▲산업용 기기 보안에 관한 주무부처의 모호함 등을 꼽으며, 이러한 근원적인 문제가 해결되지 않으면 사고는 계속해 발생할 수 있다고 지적했다.

국내 대부분의 ATM은 윈도우 환경이다. 개발단가가 낮고 개발자를 구하기 쉽기 때문이다. 보안을 위해 진행하는 것이라고는 최소한의 유지보수인 경우가 다반사다. 유지보수의 편의성을 위해 윈도우 이외의 OS를 사용하기도 어려운게 현실이다. 사실상 일반적으로 사용되는 PC와 다를 바 없는 환경이다.

보안 업계는 ATM 외에도 POS, 카드결제기, 각종 발권기 등 윈도우 기반의 다양한 산업용 기기들이 악성코드로부터 취약한 상태라고 지적하며, 이들 기기의 보안 정책을 규제할 정책의 필요성을 지적했다.


주무기관 및 관련법규 모호

관련 법규와 주무부처의 모호함 역시 문제로 꼽혔다. 현재 부가가치통신망 사업자(VAN)는 금융기관과 금융관련 통신망을 구축하고 관리하는 전자금융업자를 통칭한다. 금융 밴사(CD VAN)와 신용 밴사(카드 VAN)로 나뉜다.

신용 밴사는 카드사와 가맹점 간 통신망을 구축해 거래승인, 전표 매입 및 가맹점 모집 등 가맹점 관리업무를 대행하는 반면, 금융 밴사는 편의점과 대형마트 등에 설치된 CD/ATM기를 운영·관리한다.

문제는 이들 금융 밴사와 신용 밴사가 적용받는 법규정이 전혀 다르다는 데 있다. 2014년부터 금융당국은 이들 밴사에 대해 직접 검사 근거를 마련하고 감독 대상 기관에 편입해 정보보안 준수 의무를 부과했다. 하지만 금융 밴사는 당시 금감원의 검사인력 부족 등을 이유로 감독대상기관에서 제외됐다.

따라서 이번 사고 이전에는 금감원의 감독권한이 없던 상황이었다. 금감원은 금융 밴사의 제휴 금융사인 은행이나 카드사 등을 통해 간접적으로 관리감독하는 수준에 그치고 있다. 신용 밴사의 경우 까다로운 인증절차와 감독규정이 적용된다. 트랜잭션 단위로 키가 바뀌는 암호화가 신용카드를 사용하는 순간부터 적용되며 평문 로그를 남길 수가 없도록 돼있다.

또한 신용카드를 사용할 수 있는 POS기기 등은 2015년 7월 이후 인증받은 단말기만 설치하도록 돼있다. 인증을 받지 않은 노후화된 POS기기가 다소 남아있으나, 내년 7월까지는 모두 인증받은 POS기기로 교체돼야 한다.

금감원 관계자는 “신용 밴사는 2015년부터 금감원의 관리·감독을 받고 있지만 금융 밴사는 제외돼있다”며 “금융 밴사는 보유하고 있는 정보에 비해 관리감독의 사각지대란 지적이 꾸준히 있어왔다”고 설명했다.

이번 유출 사고로 인해 금융 규제의 공백이 생겼다는 지적에 따라 이러한 금융 밴사를 금융당국이 직접 관리감독하는 방안이 필요하다는 여론이 확산되고 있다. 현재 금융 밴사는 한국전자금융, BGF핀링크, 노틸러스효성, 롯데피에스넷, 청호이지캐쉬, 한네트, ATM플러스 등이 있다.


IoT시대, 공격루트/대상 다양해져

보안업계는 이러한 보안위협이 비단 금융기기에 그치지는 않을 것으로 보고 있다. 특히 IoT시대로 접어들면서 각종 기기가 인터넷에 연결되는 상황에서 산업 전반 기기들의 보안점검이 필수적이라는 지적이다.

SW가 각종 기기와 교통수단 등 모든 장비에 탑재되면서 보안 문제는 기존 재산상의 문제를 벗어나 생명에 까지 영향을 미칠 수 있다. 실제로 2009년 워싱턴 지하철의 SW 오류로 인해, 뒤따라오던 열차가 앞선 열차를 추돌, 9명이 사망하고 70여명이 중경상을 입기도 했다. 업계는 이러한 일이 향후 해킹을 통해서도 벌어질 수 있는 일이라 경고한다.

기업의 지적자산이 스마트팩토리를 위해 도입한 각종 산업기기를 통해 유출될 수도 있으며, 나아가 다양한 사회적 혼란을 낳을 수 있다. 실제로 지난해 여수의 한 시내버스 정류장 전광판에서는 음란동영상이 재생돼 시민들의 혼란을 낳았다. 여수시는 모두 174곳에 이르는 버스정보시스템 중 80% 정도를 차지하는 임대망 가운데 하나가 해킹을 당한 것으로 보인다고 밝힌 바 있다.

인터넷망에 연결된 각종 기기들은 해킹의 대상을 넘어 또 다른 공격의 도구로 활용되기도 한다. IoT 기기는 전 세계 사이버 범죄자들이 애용하는 디바이스이다. 지난 2016년 10월 21일 DNS 서비스 제공업체 다인(Dyn)이 대규모 DDoS 공격을 받았다. 트위터(Twitter), 넷플릭스(Netflix), 뉴욕타임즈(The NewYork Times, NYT) 등 총 76개의 사이트가 일제히 마비되거나 서비스가 지연됐다. 미라이(Mirai) 악성코드에 감염된 IoT기기가 대규모 DDoS 공격을 발생시킨 것이다.

국내에서도 미라이 악성코드에 의한 피해가 발생했는데 2016년 9월경 국내 ISP의 국제 관문 망에서 해외 특정 서버로의 트래픽이 과다 발생했다. 이와 비슷한 악성코드 감염시도는 계속 증가하는 추세다. 미라이 악성코드는 10월초 소스코드가 공개돼 누구나 쉽게 소스코드 변경을 통한 변종 악성코드 제작이 가능하게 됐다. 이를 통해 대규모 DDoS 공격뿐만 아니라 소스코드를 활용한 신종 악성코드의 개발 등 IoT 기기를 이용한 인터넷 대란이 발생할 수 있는 상황에 놓이게 됐다.

보안 전문가들은 “개인사용자, 기업, 공공의 보안의식 함양이 가장 중요하다”며 “각종 산업기기 보안을 꼼꼼히 살펴 IoT 시대를 준비해 나가야 할 때”라고 강조했다.

저작권자 © 컴퓨터월드 무단전재 및 재배포 금지