POS시스템 보안취약점 대응 필요
국내외 POS(Point of Sales, 판매시점 관리 시스템)과 관련된 보안 사고가 꾸준히 발생하고 있다. 신규 POS시스템 설치 가맹점에 대해서는 개정된 정보보호 기술기준을 만족하도록 규정하고 있으나, 아직 대부분의 가맹점은 보안에 취약한 기존 단말기를 사용하고 있는 실정이다.
출처 - http://www.starmountshare.com/retail-cross-channel/what-does-the-future-hold-for-retail-pos |
POS의 정의 및 구조
- POS란 현금을 관리하는 금전등록기와 컴퓨터 단말기의 기능을 결합한 시스템이며, 매상금액을 정산해 줄 뿐만 아니라 동시에 소매경영에 필요한 각종정보와 자료를 수집 처리해주는 시스템이다.
- 물리적으로 POS단말기 본체와 카드리더기로 구성되어 카드리더기는 유선으로 연결되거나 POS단말기 본체에 내장될 수 있으며, 대부분의 POS 단말기 본체는 권리권한을 가진 관리자에 의해서 관리, 운영된다.
POS시스템 관련 법률
- 여신금융협회의 "신용카드 단말기 정보보호 기술기준(2015.04.29)"에서 명시한 기준을 충족하여야하며, 법시행일자(2015.07.21) 이후 3년 동안 유예기간이 있다.
- 여신전문금융업법-제27조의4(신용카드 단말기의 등록)① 부가통신업자는 자신이 전기통신서비스를 제공하는 신용카드 단말기를 금융위원회에 등록하여야 한다. 다만, 부가통신업자가 전기통신서비스를 제공하지 아니하는 신용카드 단말기의 경우에는 신용카드가맹점이 금융위원회에 등록하여야한다.② 등록하려는 신용카드 단말기는 신용카드회원의 정보보호를 위하여 금융위원회가 정하는 기술기준에 적합하여야 한다.③신용카드 단말기의 등록요건 및 등록절차 등에 필요한 사항은 대통령령으로 정한다.
- [부칙]- 제4조(신용카드 단말기의 등록에 관한 경과조치) 이 법 시행 당시 신용카드 거래와 관련하여 전기통신서비스를 제공하는 신용카드 단말기는 제27조의4의 개정규정에 따른 등록을 한 것으로 본다. 다만, 이법 시행 후 3년 이내에 제27조의4의 개정규정에 따라 금융위원회에 등록하여야한다.
- 여신전문금융업법 시행령
- 제9조의9(신용카드 단말기의 등록절차)
① 법 제 27조의4제1항에 따라 신용카드 단말기를 등록하려는자는 금융위원회가 정하여 고시하는 등록신청서를 금융위원회에 제출하여야한다.
② 신용카드 단말기의 등록신청의 방법 절차 등에 관한 세부사항은 금융위원회가 정하여 고시한다.
POS시스템 보안 위협
- 중요정보 붑법접근
- 메모리 해킹 등의 공격 기법을 사용하여 중요정보를 유출할 수 있는 보안 위협 - 암호키 유출
- 중요정보 암호화 연산을 위해 사용되는 암호키가 유출되어 중요정보가 유출될 수 있는 보안위협 - 전송데이터 유출
- 신용카드 단말기 구성요소간 또는 신용카드 단말기와 VAN 서버간 정송되는 중요정보를 무단으로 노출, 변경시킬 수 있는 보안위협 - 보안기기능 우회
- 악성코드를 통해 신용카드 단말기 보안기능과 관련된 실행파일 또는 설정파일 등이 변조되어 보안기능을 우회할 수 있는 보안위협
POS시스템 보안사고 사례
- 목포 커피전문점 POS 단말기 카드정보 유출
- 미국 대형 유통마드 Target 카드 정보 유출
향후 대응방안
- IC카드로의 교체
- 악성코드 등 보안취약점 유입 방지
- 불필요한 서비스 및 이용 제한
- 운영체제 업그레이드 및 지속적인 보안 패치
[출처]
http://blog.naver.com/PostView.nhn?blogId=skinfosec2000&logNo=220658765709
댓글 없음:
댓글 쓰기