전국 음식점 등에 설치된 판매시점관리시스템(POS)이 악성코드에 감염돼 먹통이 되기까지 일주일이 채 걸리지 않았다. 정부도 기업도 사실상 POS 보안 문제에 눈을 감은 탓이다.
이번 POS 대상 서비스거부 공격 사태는 그간 가맹점에서 운영하는 POS 보안 실태를 여실히 보여준다. 일반 PC보다 보안 수준이 낮고 어떠한 표준도 없다.
수년간 POS 보안 지침 없이 운영되다 보니 해커 '화수분'으로 전락했다.
결제 대란도 우려된다. 이달 20일부터 IC결제 의무화가 시행된다. 정부는 모든 결제 시스템을 IC결제 단말기로 교체 중이다. 하지만 실행 주체인 밴 대리점 인력 대부분이 먹통이 된 POS 복구에 투입됐다. IC결제단말기 최종 점검과 설치도 후순위로 밀렸다.
악재가 줄줄이 겹치는 모양새다.
한국인터넷진흥원(KISA)에 따르면 퍼스트컴퍼니, 이레정보통신, 동일아이티, 가온정보통신, 성진정보텍, 한울솔루션정보 등이 중대형 기업이 잇따라 피해 사례 신고를 접수했다.
대부분 POS 단말기에 인터넷 연결이 되지 않아 결제가 불가능한 증상이 발생했다.
금융업계와 보안업계는 그동안 POS 보안 논란이 지속된 만큼 결제단말기 관련 세밀한 보안규정과 가이드라인, 사후 책임 문제 규정을 매듭지어야 한다고 주장한다.
우리나라는 POS 시스템 보안관리 주체가 불명확하다.
국내 수백만개 상점에 설치된 POS 기종이 무엇인지, 몇 대가 깔려있는지 정부는 전수조사를 단 한 번도 한 적이 없다.
물론 특수한 상황이 있다. POS는 밴(VAN) 대리점이 가맹점에 무상으로 설치해주고 일종의 관리비 수수료를 받는 구조다. 그러다보니 가맹점주가 보안에 대한 인식도 없을뿐더러 해킹 등 피해가 발생해도 책임소재가 불명확하다. 내 정보가 어떻게 유통되는지 알 수도 없고, 신용카드 가맹점 POS를 통해 유출되는 것을 막을 수도 없다.
다행히 이번 먹통 사태와 관련 개인정보 유출 피해 사례 등은 접수되지 않았다.
점포 결제 정보나 카드 정보를 직접적으로 노리지는 않은 것으로 추정된다. 금융정보 탈취를 목적으로 하는 해킹 공격은 보통 서비스 장애보다는 POS 단말에 저장된 결제·카드 정보 등을 외부로 은밀히 빼돌리는 특성을 보인다. 서비스장애는 해킹이 오히려 조기에 발각되고 목적달성도 어렵게 만들기 때문이다. 아직까지 이번 사태로 인해 정보가 유출된 정황은 확인되지 않고 있다. 하지만 금융정보 탈취 특성 상 시간이 흐른 후 악용되는 사례가 많아 실제 정보 유출 여부 가능성은 수사가 필요해 보인다.
상황이 이런데도 금융감독원은 이번 POS 장애와 관련 진상도 파악하지 못한 것으로 알려졌다.
현장에서는 장애 발생 책임을 두고 네 탓 공방이 벌어지고 있다. KT모뎀 기종에서 피해가 다수 발견됐기 때문에 통신사인 KT가 책임을 지고 보상해야 한다는 주장이 나왔다. 일각에서는 POS 제조사가 업데이트 등을 제대로 안한 탓이 크다고 말한다. 반면 가맹점 관리를 하고 있는 밴대리점 상위 밴사가 책임을 져야 한다는 주장이 팽팽히 맞선다.
우선 금융감독원이 이번 사태 진위여부를 파악하고 대책을 마련해야 할 것으로 보인다.
개인 정보가 전국 곳곳에 깔려 있는 POS시스템을 통해 저장, 수집되고 언제나 해커 표적이 될 공산이 크기 때문이다.
전국 가맹점에 설치된 POS 시스템은 표준이 없다. PC에 정산 SW를 연결해 쓰는 곳도 있고 출처가 불분명한 외산 POS 시스템을 쓰는 곳도 부지기수다. 어떤 POS 시스템이 얼마나 쓰이는지 정보관리를 어떻게 하는지 가이드라인이 없는 셈이다. 상황이 이렇다 보니 정부도 이를 규제하기는 현실적으로 불가능하다는 입장이다.
국내 POS 제조사만 무려 300여곳. 외산 기종까지 들여와 파는 유통사까지 합치면 500곳이 넘는다.
길재식 금융산업 전문기자 osolgil@etnews.com, 박정은기자 jepark@etnews.com