포스단말기 해킹… 보안 최전선 FDS도 무용지물
해외 피해금액 FDS가 제대로 감지했다면 막을 수 있어
FDS가 잡아내지 못했는데 FDS로 추가피해 막겠다는 금융당국
최근 포스(POS)단말기 서버 해킹 사고로 카드고객 정보가 빠져나간 가운데 카드사 보안의 최전선에 있는 부정사용방지시스템(FDS)이 제 역할을 하지 못해 피해를 키웠다는 주장이 제기됐다.
카드사 FDS가 제대로 부정사용을 감지하지 못해 화를 키웠는데도 FDS로 추가피해를 막겠다는 금융당국의 대책은 땜질식 처방이라는 지적도 나온다.
13일 경찰청 사이버테러대응센터와 금융권에 따르면 지난해 12월 경기도에 위치한 포스단말기 관리업체 서버가 해킹돼 신한카드와 국민카드, 농협카드 등 10개 카드사 고객 10만여명의 카드정보가 유출됐다.
이번 유출은 카드사로부터 빠져나간 게 아닌 음식점이나 커피전문점 등 가맹점에서 사용하는 결제 단말기 서버에서 새나갔다.
앞서 카드 3사(국민카드. 롯데카드, 농협카드) 정보유출 사태와 달리 주민등록번호나 비밀번호, 주소, 휴대폰 번호 등 카드사가 보관하고 있는 고객정보는 유출되지 않았다.
하지만 이번 사건은 카드복제가 가능한 정보가 빠져나갔고 금전적 피해도 발생했다. 이는 카드 고객정보 없이 포스단말기에서 다루는 정보만으로도 카드복제가 가능하기 때문이다.
지금까지 경찰 조사에서 밝혀진 피해금액은 1억2000여만원이다. 이들 일당은 포스단말기에서 빼낸 정보로 복제카드를 만들었다. 신용카드 비밀번호는 포스단말기에 함께 보관돼 있던 OK캐쉬백 비밀번호를 통해 유추했다.
이들 일당이 이런 식으로 비밀번호까지 알아낸 카드는 149장이다. 이들은 이를 이용해 해외 현금인출기에서 1억원을 빼냈다. 국내에서도 2000여만원을 찾아 사용했다.
특히 해외 현금인출기에서 빼낸 금액은 포스단말기를 해킹한 사람이 아닌 제3자일 가능성이 크다. 해커가 해외에 거주하는 제3자에게 복제카드 정보를 팔아넘겼다는 것이다.
경찰 관계자는 "돈을 빼낸 사람은 해커가 아닌 제3자로 추정된다"며 "현금인출기를 사용한 국가가 미국, 영국, 캄보디아, 중국 등 다양하기 때문에 유출된 정보가 얼마만큼 퍼졌는지 파악이 어렵다"고 설명했다. 카드를 복제할 수 있는 정보가 이미 해외로 흘러나갔다는 얘기다.
지난 11일 포스단말기에서 정보를 훔친 해커가 캄보디아에서 잡혔음에도 추가피해가 우려되는 이유다.
이 가운데 카드업계에선 FDS가 제대로 부정사용을 걸러내지 못해 피해를 더 키웠다는 자성의 목소리도 나온다.
FDS는 신용카드 부정사용을 방지하는 시스템이다. 서울에서 신용카드를 긁은 지 5분 만에 뉴욕에서 또다시 카드를 사용하면 부정사용으로 인지하고 결제를 막는 식이다.
보안업계 관계자는 "피해금액 1억2000만원 중 1억원은 해외사용 금액"이라며 "만약 FDS가 제대로 작동됐다면 피해를 줄일 수 있었을 것"이라고 지적했다.
그러면서 그는 "카드사 보안의 최전선인 FDS가 있으나 마나 한 수준이라는 추측도 가능하다"고 덧붙였다.
카드사 FDS실 관계자도 해외 카드 부정사용을 막지 못한 것은 FDS 문제라고 일부 인정했다.
대형 카드사 FDS 전문가는 "카드사 FDS가 부정사용을 바로 인지했다면 초기에 바로잡았을 것"이라며 "추가피해가 우려되는 상황이라 FDS가 앞으로 얼마만큼 제 역할을 할지 중요하다"고 말했다.
한편, 사정이 이런데도 금융감독원은 이번 사건과 관련 카드사에게 정보유출이 확인된 카드정보를 FDS에 등록하게 했다며 추가피해를 수수방관하지 않겠다는 입장이다.
이를 두고 IT 한 전문가 "FDS가 잡아내지 못했는데 다시 FDS로 추가피해를 막겠다는 건 이해되지 않는다"고 반문했다.
©(주) 데일리안 무단전재 및 재배포 금지
12일 경찰청 사이버테러대응센터와 금융권에 따르면, 지난해 12월 경기도에 위치한 포스단말기 관리업체 서버가 해킹돼 신한카드와 국민카드, 농협카드 고객 10여만명의 카드정보가 빠져나갔다. ⓒ데일리안
포스단말기(자료사진) ⓒ데일리안
![삼성 임원 '주 6일 근무'가 주는 경고음 [박영국의 디스]](https://cdnimage.dailian.co.kr/news/icon/202404/news_1713404739_1352284_c.jpeg){kind=icon}