미국 대형마트 타깃, 니만 마커스 등을 통해 1억명 이상 고객들의 개인정보가 유출된 것과 관련, 판매시점관리시스템(POS) 단말기를 최신 버전으로 업데이트 하고, 유출된 정보가 어디서 악용되고 있는지 파악하는 것이 무엇보다 중요하다는 지적이다.
13일(현지시간) 미국 지디넷은 시스코 위협 조사 분석 및 커뮤니케이션팀이 자사 블로그에 올린 글을 인용해 이 같이 보도했다.
지난달 말 블랙프라이데이 시즌 중 타깃은 1억1천만명에 달하는 고객들의 이름, 이메일, 휴대폰 번호 등이 유출됐다고 발표했다. 니만 마커스 역시 비슷한 시기에 정보가 유출됐으나 피해규모는 아직 확인되지 않았다.
현재 블랙마켓에서는 유출된 정보를 악용해 만든 가짜 신용카드가 유포되고 있다.
시스코에 따르면 마그네틱 부분에 저장된 신용카드 정보는 크게 세 가지 트랙으로 구성된다. 가장 윗줄인 트랙1에는 카드번호, 사용자 이름, 유효기간 등에 대한 정보가 담긴다. 트랙2 역시 카드번호, 유효기간에 대한 기록이 저장된다. 여분으로 남아있는 트랙3에는 경우에 따라 해당 대형마트 등에서 제공하는 포인트 적립 서비스에 대한 정보가 들어있다.
해당 기기의 결제 시스템은 암호화 처리돼 네트워크를 통해 카드 정보를 전송한다. 문제는 POS단말기, PC 등의 메모리에 저장돼 있을 때는 중간에서 정보를 가로채기가 쉽다는 점이다.
시스코 위협 조사팀 레비 군더트 기술책임자는 블로그를 통해 실제로 사고가 발생하고 있으며, 기술적 장벽이 세워질 때까지는 안전하지 않다고 말했다.
유출시킨 정보로 마그네틱 부분을 조작한 가짜 신용카드는 기존 POS단말기에서 비밀번호(PIN번호) 없이도 사용할 수 있다는 점이 문제다.
시스코는 이러한 위협에 대해 경고하면서 POS 단말기, 이를 관리하는 PC에 사용되는 소프트웨어를 최신 버전으로 업데이트 해야 한다고 밝혔다.
관련기사
- 도난당한 개인정보, 가짜 신용카드 제작에 악용2014.01.14
- 카드 정보 유출 국민 '끙끙'…책임은 어떻게?2014.01.14
- "1억명 털린 카드 사고, 기본이 문제였다"2014.01.14
- 美대형마트 타깃, 4천만명 고객정보 유출 파장2014.01.14
이와 함께 군더트는 만약 POS 하드웨어를 암호화 하기 위해 감당할 수 없는 비용이 든다면 해당 회사들은 결제용 카드 정보를 포함한 중요 데이터를 보호할 수 있는 보안정책을 면밀히 검토해야 한다고 말했다.
또한 그는 오로지 침입방지에만 집중하는 것은 이미 보안에 실패한 것이라며 어디서 결제 데이터가 복제됐는지를 확인하는 것이 첫번째 대응책이라고 말했다. 타깃의 경우 이미 미국 정보기관과 사법부에 도움을 요청했다.
