각종 POS 공격 늘어나자 PCI SSC 필요조건 강화

최신화된 PCI SSC, 물리보안 강화 및 암호화 도입
다소 빡빡할 수 있는 내용들... 탁상행정에 그치지 않았다는 평

[보안뉴스 문가용] 지불카드 산업 보안 표준 의회(Payment Card Industry Security Standards Council, PCI SSC)가 지불 단말기 업체들이 충족시켜야 하는 필요조건을 업데이트했다. 각종 유명 호텔 및 숙박시설은 물론 도소매업들에서 특히 POS와 POI(Point of Interaction, 상호 작용 시점)를 겨냥한 위협과 공격이 증가함에 따라 내린 조치다.

POS 공격으로 수천만 건의 지불카드 정보가 유출되었고, 이 때문에 기업들은 큰 비용을 지불하고 있다. 은행도 카드를 재발행해야 하는 등 피해가 적지 않다. 여태까지 일어난 POS 공격은 대부분 공격자가 POS 시스템과 PIN을 입력하는 단말에 멀웨어를 심거나, 스키머를 활용해 지불카드 데이터가 암호화되기 전 타이밍을 노리는 패턴으로 이루어졌다.

PCI측은 이번 업데이트를 통해 특히 PIN 입력 기기, 무인 지불 단말, POS 단말과 결합된 PIN 패드를 다루는 업체들의 보안을 강화하려는 의지와 카드 리더기의 암호화에 대한 계획을 나타냈다. 지불 기기들은 카드 정보를 자기띠나 EMV 카드의 칩에서부터 받아서 소비한다. 그리고 이 정보가 바로 공격자가 노리는 것이다.

“범죄자들은 계속해서 이 데이터에 도달하기 위해 보안 장치를 해체시킵니다.” PCI 위원회의 CTO인 트로이 리치(Troy Leach)의 설명이다. 그래서 계속해서 새로운 스키머가 등장하고 공격 방법이 개발된다는 것이다. “그들이 새로운 걸 들고 나오면 저희도 새로워져야겠죠. 최신화된 PCI 표준이 바로 이 지점에서 새로운 기능을 할 수 있으리라고 봅니다. 업그레이드된 공격방식에 대한 대처를 다루고 있거든요.”

개정된 내용 중 눈에 띄는 건 PIN 거래 보안(PTS)와 POI 시스템에 대한 항목이 따로 분리되었다는 것이다. 기존 표준 항목들이 업데이트된 것 외에도 새롭게 추가된 조건들이 존재한다는 게 가장 잘 드러나는 부분이다. 즉, PCI SSC가 나름 대대적인 수술을 받았다는 것.

“멀웨어를 시스템에 직접 심어야 공격이 성립되는 경우가 많습니다. 그래서 물리보안 측면에서의 필수조건들을 강화시켰습니다. 또한 논리적인 공격 역시 차단하기 위해 PIN 암호화 키를 평문으로 전송하는 것도 이번 가이드라인에 포함시켰습니다.” 또한 이번 개정판은 지불 기기의 생산법, 저장법, 운송법에 대한 것도 다루고 있다.

물리보안을 강화하기 위해 PCI 위원회는 이제 지불 기기 벤더들이 운영 혹은 환경 조건에 변화가 생겼을 때 기기가 침해받지 않는다는 것을 증명할 것을 필수조건 항목에 넣었다. “예를 들면 외부에서 기기의 온도나 전력을 정상범위 바깥으로 설정했을 때 기기가 취약해지지 않도록 해야 한다는 것이죠.” 이때 취약해지지 않는다는 것 파괴되지 않는다는 것과는 다른 말이다.

또한 이번 개정판부터 지불 기기들은 반드시 펌웨어 업데이트를 지원하도록 만들어지고 관리되어야 한다. 또한 펌웨어를 인증할 때 모든 과정을 암호화처리해야 하며, 펌웨어 인증이 안 될 경우 업데이트를 거부하거나 아예 중단, 삭제도 가능해야 한다. 이는 업데이트인 척 위장한 각종 악성 코드의 침입을 막는 데에 큰 역할을 할 수 있다.

POI와 PIN 입력 기기 생산자들은 이제부터 기기를 고객에게 운송하는 도중에 공격이 발생하지 않도록 조치를 취해야 한다. 또한 운송 시 고객에게 기기의 무결성을 확인하는 방법을 상세하게 문서화해서 같이 넘겨주도록 명시하고 있다. 여기엔 혹시 모를 공격의 흔적을 발견하는 방법도 포함되어 있다. 여기에 더해, POI 시스템 생산자들과 공급망에 포함된 다양한 파트너들이 안전한 절차와 방법을 통해서만 고객에게 물건을 전달하도록 명시하고 있다.

최근 미국은 지불카드를 자기띠 방식에서 EMV로 바꿨으며 이로 인해 카드복제로 인한 사기 범죄는 줄었으나 POS 시스템을 노리는 등의 사이버 해킹 범죄가 늘어나고 있다. 특히 도소매업과 숙박업체들이 연쇄적으로 피해를 당하고 있다. 이번 PCI SSC의 가이드라인 개정은 단순히 이런 맥락에서 진행된 탁상행정이 아니라 매우 구체적이고 실제적이라는 평을 받고 있다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)