세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
신용카드 바꾼 미국, 때 아닌 POS 해킹으로 ‘홍역’
  |  입력 : 2016-08-21 21:55
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
오라클 MICROS와 HEI 호텔 앤 리조트 그룹 이어, 에디 바우어가
카드 복제 범죄는 줄어들었으나 POS 사기 늘어나 골치


▲ 누군 오르고, 누군 내려오고

[보안뉴스 문가용] 유명 호텔들의 POS 시스템에서 멀웨어가 검출된 데 이어 의류 브랜드인 에디 바우어(Eddie Bauer)의 POS에서도 멀웨어가 발견됐다. 이 멀웨어로 고객들의 지불카드 정보가 유출된 것으로 보인다. 멀웨어를 심기 위해 최초 침투한 공격자는 에디 바우어뿐 아니라 각종 도소매업, 호텔 및 레스토랑을 공격한 것으로 보인다.

아직 피해자의 정확한 규모는 확실히 밝혀지지 않았다. 다만 올해 1월부터 7월 사이 에디 바우어 매장에서 직접 물건을 구매하고 카드로 지불한 고객들은 전부 잠재적인 피해자다. 훔쳐간 정보는 카드 소유주 이름, 카드 번호, 만료일, 보안 코드 등이라고 한다.

현재 멀웨어가 발견된 에디 바우어 매장은 미국과 캐나다에 걸쳐 약 370개 정도다. 에디 바우어 측은 피해 고객 전부에게 아이덴티티 보호 서비스를 1년간 무상 제공할 것이라고 밝혔다. 또한 CEO인 마이크 에젝(Mike Egeck)은 “현재 FBI아 사이버 보안 전문 업체가 수사를 벌이고 있으며 동시에 피해 복구를 위해 많은 노력을 기울이고 있다”고 발표했다.

에디 바우어는 최근 발생한 POS 사건들의 가장 최근 피해자다. 얼마 전에는 오라클의 MICROS의 고객지원 사이트가 해킹을 당했고, MICROS의 주요 고객인 호텔 및 도소매 업체들에게 2차 피해가 확산될 것이 우려되는 상황이 있었다. 그런데 얼마 있지 dskg아 매리어트, 하이얏, 셰라톤 등의 호텔을 거느린 HEI 호텔 앤 리조트 그룹에서 멀웨어가 검출되었다. 약 20곳의 유명 호텔에서 카드정보 유출이 벌어진 것이다. 물론 이 두 사건 간의 관계성은 아직 밝혀지지 않았다.

미국은 지금 지불카드의 대 혼란기를 지나고 있다. 자기 띠 방식의 카드를 공식적으로 만료시키고 EMV를 정식 신용카드 기술로 대체하기로 결정한 것이 불과 작년의 일로, 현재 모든 거래 시스템이 이 EMV 기술로 이전 중에 있다. 이로써 카드 복제와 같은 사기 범죄가 크게 줄어들 것이라고 예상하고 있다. 하지만 카드 복제 범죄 위험이 줄어드니 POS 범죄가 늘어나고 있는 양상이다.

HPE 시큐리티(HPE Security)의 수석 책임인 조지 라이스(George Rice)는 “도소매업체를 노리는 멀웨어는 보통 POS 애플리케이션의 메모리로부터 데이터를 훔친다”고 설명한다. 이 데이터는 보통 자기 띠 카드의 자기 띠, EMV 카드의 칩 등에 저장되어 있다. “POS 애플리케이션의 업데이트는 매우 드물고 좀처럼 발생하지 않는 일입니다. 그러니 멀웨어 같은 것에 많이 약할 수밖에 없습니다.”

또 다른 보안업체인 트립와이어(Tripwire)의 수석 보안 책임인 트라비스 스미스(Travis Smith)는 POS 시스템을 공공 인터넷 시스템과 분리시켜 놓는 것이 중요하다고 강조한다. “POS를 노리는 공격자들이 물리적으로 매장에 찾아와서 멀웨어를 심을 확률이 얼마나 될까요? 보통 인터넷을 통해 공격하죠. 그러니 POS를 인터넷으로 분리시키면 위험이 크게 줄어듭니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

#POS   #지불카드   


GDPR(유럽 개인정보보호법) 시행이 1년 앞으로 다가왔습니다. 여러분의 회사는 얼마나 준비를 하고 계신가요?
GDPR에 대한 모든 준비를 끝마쳤다
부족하지만 어느 정도 준비를 마쳤다
이대로는 어렵다. 전문가의 손길이 필요하다
전혀 준비가 안됐다. 차라리 유럽관련 사업을 접겠다
전혀 준비가 안됐다. GDPR 컨설팅 업체는 없는 건가?
GDPR이 뭐지? 잘 모른다
기타(댓글로)