판매시점관리(POS) 단말기 보안성을 높이기 위한 도구로 `화이트리스트` 기반 전용 보안솔루션이 주목받는다. 안티바이러스 백신 등을 설치하기 힘든 제한된 성능 환경에서 안전한 매장 운영을 돕는다.
10일 업계에 따르면 오프라인 매장에서 카드결제와 매출 관리 등에 사용하는 POS 단말기가 해킹과 악성코드 감염에 취약하다. 기본 백신이 설치되지 않은 곳이 적지 않다. 단말기 대부분은 지원 기간이 얼마 남지 않은 구형 윈도XP 기반 임베디드용 운용체계(OS)를 이용한다.
연결된 모니터 화면 역시 일반 PC 인터페이스와 비슷해 인터넷 웹사이트 접속 등 본래 용도 외 작업이 빈번하게 이뤄진다. 지금까지는 주로 해외에서 POS 관련 해킹 사고가 많이 발생했다. 올해 초 국내에서도 카드결제단말기를 노린 악성코드가 유포돼 안랩, 하우리 등 보안 업체가 주의를 권고했다.
POS는 일반 PC 환경에서 사용하는 보안 솔루션을 적용하기 어렵다. 결제가 이뤄진 고객 카드정보 등 민감한 정보를 처리하면서도 하드웨어 성능이 낮은 이유다. 사전에 승인한 프로그램만 작동을 허용하는 화이트리스트 기반 경량화된 보안 솔루션이 요구된다.
POS용 초경량 보안솔루션 안랩 `이피에스(EPS)`는 국내뿐만 아니라 해외에서도 매출 증가세를 보이는 제품이다. 산업시스템 전용 보안 솔루션 `트러스트라인`을 바탕으로 POS 시스템과 ATM, 키오스크 등 특수목적 시스템에 최적화됐다. 애플리케이션 컨트롤과 네트워크 제어, 매체 제어 등으로 구현한 독자적 화이트리스트 기술로 보안 위협 요소를 차단한다. 서버에 탑재한 악성코드 탐지·치료 엔진으로 일부 백신 기능을 제공한다.
이스트소프트는 산업용 기기 전용 보안 솔루션 `알약 레거시 프로텍터`를 2년 전 출시해 서비스 중이다. 악성 유무를 떠나 POS 시스템 등에 새로운 파일 생성이나 설치를 차단한다. 사용자가 별도 제외 처리하는 프로세스 외에는 모두 제한한다.
에스지에이(SGA)임베디드는 ATM과 POS, 무선공유기 등 임베디드 시스템 전용 보안 솔루션 `IES-WL(윈도용)`과 `IES-OS(리눅스용)`을 개발했다. 저사양 환경에서 안정적 기기 운영과 악성코드 대응에 초점을 맞췄다. POS 제조업체 등과 선탑재 공급을 논의 중이다.
해외업체 국내 시장 진출도 이어진다. 카스퍼스키랩은 ATM과 POS 단말기 보호에 특화된 `카스퍼스키 임베디드 시스템 시큐리티`를 지난 8월 국내 출시했다. 다양한 윈도 버전을 지원하면서 시스템 성능 요구사항은 최저 수준이다. 화이트리스트 방식 `기본 거부` 모드로 비인가 프로세스를 차단한다.
이상국 안랩 EP사업기획실장은 “기존 화이트리스트 기반 시스템 보호 기능에 POS와 ATM에 특화된 보안 기능과 관리 기능을 더해 채택 기업이 증가 추세”라며 “최근 유통 대기업과 대형 제조 기업 등에서 문의가 늘었다”고 말했다.
박정은기자 jepark@etnews.com
