[컴퓨터월드] 코로나19 시대를 지나오면서 프랜차이즈 카페나 패스트푸드 매장을 넘어 소규모 업장까지 빠르게 확산된 무인 주문기기 키오스크(Kiosk). 식음료를 주문하거나 맛집 줄서기를 위해 키오스크를 이용할 때면, 멤버십 포인트 적립이나 입장 안내 등을 위해 전화번호와 같은 개인정보를 입력하고는 한다.

그런데 지난 8월 말 ‘개인정보의 안전성 확보조치 기준’이 일부 개정됨에 따라 전화번호 등 개인정보를 입력할 경우 키오스크도 개인정보처리시스템에 해당, 개인정보 보호 조치가 필요하다는 개인정보보호위원회의 해석이 나왔다. 이에 현재 사이버 보안에서 사각지대에 놓여 있다고 해도 과언이 아닌 ‘키오스크 보안’ 관련 수요가 본격적으로 확대될 것으로 전망된다.

급격히 늘어난 키오스크, 보안은 허술

한국소비자원이 2022년 11월 발간한 ‘키오스크 이용 실태조사’ 자료에 따르면, 2021년 국내 키오스크 운영 현황은 공공 183,459대, 민간 26,874대 등 총 21만여 대에 달하는 것으로 조사됐다. 또한 한국지능정보사회진흥원(NIA)은 2022년 키오스크 보급 대수가 45만 대 이상인 것으로 추정했다. 특히 NIA의 추정치는 무인 매장이나 영세 업체를 포함하지 않은 수치로, 실제 국내 키오스크 보급 수는 2023년 말 현재 작년보다 큰 폭으로 늘어났을 것으로 예상된다.

하지만 키오스크가 폭발적으로 늘어난 데 비해 정보보호 조치는 방치된 수준이라는 지적이 나오고 있다. 특히 정품인증이 돼 있지 않은 운영체제(OS)를 사용한다거나, 시스템 관리를 위한 USB 포트에 아무런 제한 없이 접근할 수 있는 등 보안 측면에서 허술한 노후 키오스크를 종종 발견할 수 있다. 실제 국내 한 대형 병원에 설치된 진료 접수용 키오스크 등을 통해 환자 개인정보가 유출될 가능성이 화이트해커의 사이버 공격 실험에서 지적되기도 했다.

전화번호 입력하면 키오스크도 ‘개인정보처리시스템’

‘개인정보의 안전성 확보조치 기준’ 제2조(정의) 제1호를 살펴보면, ‘개인정보처리시스템’이란 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템을 말한다고 규정하고 있다.

해당 조항에 따라 키오스크 보안에 대해 개인정보보호위원회에 문의한 결과, “키오스크에서 멤버십 적립 등을 위해 전화번호 등 개인정보를 처리한다면 ‘개인정보처리시스템’에 해당하므로 고시에서 정한 안전성 확보조치 기준을 준수해야 한다”는 답변을 받을 수 있었다.

키오스크·POS 보안 준비 태세 점검해야

이 같은 배경에서 키오스크에 어떤 보안 조치가 필요한지를 살펴봤다. 먼저 키오스크는 주문 관련 정보와 함께 신용카드 결제 정보를 POS(Point of Sales) 기기로 전달한다. ‘개인정보의 안전성 확보조치 기준’ 제7조 개인정보 암호화 규정에 따르면, 이때 신용카드 결제 관련 정보는 암호화돼 POS 기기로 전송돼야 한다. 따라서 키오스크 운영자는 우선 POS 및 키오스크 운영관리 소프트웨어에서 암호화 전송을 제공하는지를 확인해봐야 한다.

키오스크에 대한 불법적 접근과 침해사고를 방지하기 위한 안전조치도 시행해야 한다. ‘개인정보의 안전성 확보조치 기준’ 제6조 접근통제 부분을 살펴보면, 개인정보처리시스템에 대한 접속 권한을 IP 주소 등으로 제한해 인가받지 않은 접근을 제한해야 하며, 시스템에 접속한 IP 주소 등을 분석해 개인정보 유출 시도를 탐지하고 대응해야 한다. 즉 키오스크 운영관리 소프트웨어에서 해당 기능을 제공하는지를 확인하고, 그렇지 않다면 별도의 개인정보접속기록관리 솔루션을 활용해야 한다.

개인정보에 대한 접근 권한 관리도 필요하다. 개인정보취급자에게 업무 수행에 필요한 최소한의 범위로 접근 권한을 차등 부여해야 하고, 업무 변경 시에는 즉시 권한을 변경 또는 말소해야 한다. 또한 이와 관련한 내역을 기록하고, 최소 3년간 보관해야 한다. 시스템 접근을 위한 인증 수단의 적용은 물론, 일정 횟수 이상 인증에 실패할 경우 접근을 제한하는 등의 조치가 가능한지도 확인할 필요가 있다.

마지막으로 악성 프로그램 등을 방지·치료할 수 있는 보안 프로그램을 설치 및 운영해야 한다. 또한 자동 업데이트 기능을 사용하는 등 보안 프로그램을 최신 상태로 유지해야 한다. 그리고 당연하지만 발견된 악성 프로그램은 삭제 등 대응 조치를 해야 한다.

가볍고 안정적인 키오스크·POS 전용 보안 솔루션 필요

하지만 현실적으로 개인 사업자가 이러한 키오스크 보안 관련 사항을 하나하나 챙기기는 불가능하다. 따라서 이러한 보안 요구를 한 번에 만족하는 단일 솔루션이 필요한 상황이다. 특히 키오스크 보안 솔루션은 일반 PC 보안을 위한 백신 프로그램보다는 조금 더 까다로운 기준에서 선택해야 한다는 점을 유념해야 한다.

즉 일반적으로 키오스크나 POS는 필요 최소한의 성능만을 갖추고 있기에, 보안 프로그램이 컴퓨터의 자원(resource)을 최대한 적게 점유해야 한다. 따라서 키오스크에 적합한 보안 솔루션은 상대적으로 작은 용량으로도 주요 악성 행위를 포착, 대응하면서도 주문이나 결제 프로그램을 느리게 하는 등 본연의 업무에 영향을 줘서는 안 된다는 것이다.

보안 업계 한 관계자는 “키오스크·POS 보안 솔루션은 업데이트가 너무 잦아도 문제가 될 수 있다. 최소한의 자원을 활용해 최대한의 방어를 해낼 수 있는 역량이 중요하다”면서 “네트워크 접속 기록, 리소스 사용량, 프로그램 설치 현황, 민감정보 포함 파일 등을 모니터링하고 과다 트래픽, 데이터 유출 등을 차단하는 기능을 비롯해 시스템 전원 기록 관리, USB 등 외부 매체 제어, 네트워크 제어 등의 부가 기능도 제공하는지 확인해봐야 한다”고 덧붙였다.