금전등록기 관리업체서 개인정보 1200만 건 유출


  • 신용카드 결제기(POS) 관리업체의 부실한 서버 관리로 인해 동네 식당 등에서 카드로 결제한 고객들의 카드·개인정보 1200만 건이 통째로 유출됐다.

    심지어 미국 내 특정 아이피(IP)주소에서 이 서버에 지속적으로 접속한 정황이 확인돼 2차 피해가 우려되지만, 피해자들은 자신의 정보가 유출됐는지 확인할 길이 없는 상황이다.

    5일 광주 서부경찰서에 따르면 카드결제기 가맹점의 고객 정보를 특별한 보안조치 없이 방치한 혐의(개인정보보호법 위반)로 서울 지역의 POS 판매ㆍ관리업체 직원 최모(39)씨를 불구속 입건하고 긴급 서버접근제한 조치로 추가 유출을 막았다.

    이 업체의 가맹점은 소규모 식당, 주점 등 200여 곳으로 유출된 정보는 고객들의 신용카드 결제정보 450만 건과 개인정보 750만 건 등 총 1200만건에 달한다.

    경찰은 구글 검색에 특정 카드번호를 입력해 검색하면 해당 금전등록기 관리업체의 백업서버에 접속된다는 첩보를 확보, 수사에 나섰다.

    실제로 구글 검색사이트에 신용카드 번호를 검색한 결과 해당 신용카드로 결제한 내역과 결제장소, 일시, 할부 여부까지 상세히 알 수 있는 자료가 검색됐다. 자료가 있는 사이트의 다른 폴더에는 포인트를 관리하기 위해 회원 가입된 고객의 개인정보도 들어 있었다.

    회원가입정보에는 이름, 주소, 전화번호 등이 상세히 기록돼 있었다. 모두 일상적으로 들르는 식당, 마트, 술집에서 결제한 카드정보나 회원가입 내용이다.

    이 같은 개인정보는 해당 금전등록기 관리업체가 백업서버에 엑셀 파일 등으로 저장해 관리한 내용으로 업체가 아무런 보안조치 없이 보관해놓은 탓에 간단한 검색만으로도 외부에 쉽게 노출됐다.

    경찰 수사결과 미국 내 특정 아이피 주소에서 지난해 1월부터 최근까지 한 달에 2~3차례씩 모두 20여 차례 이상 업체의 백업서버에 접속해 개인정보를 들여다본 것으로 조사됐다.

    그러나 미국 수사 당국과의 공조수사에 어려움이 있어 미국 내 특정 아이피 접속자가 누구인지 얼마만큼의 개인정보를 유출해 갔는지는 밝히지 못했다.

    경찰 관계자는  "오랜 기간 반복적으로 서버에 접속한 것으로 보아 개인정보를 지속적으로 빼간 것 같다"고 추정했다.

    유출된 개인정보는 2차 피해를 일으킬 우려를 낳고 있다.

    경찰은 신용카드 결제정보와 이름, 주소, 연락처 등을 이용해 특히 피싱이나 스미싱에 이용될 가능성이 큰 것으로 보고 있다.

    아직 피해사례가 접수되지는 않았지만 자기도 모르는 사이에 식당과 마트 등에서 개인정보 유출을 당한 피해자들은 자신의 정보가 새나갔는지도 파악하기 어려운 형편이다.

    한편, 지난 2011년 4월에는 해커들이 POS단말기에 침입해 키보드 입력 값을 가로채는 키로깅(key logging) 수법으로 빼내 범죄에 이용하다 덜미가 잡혔다. 빼낸 개인정보를 입수한 20대 공범 2명은 복제신용카드를 만들어 3억원가량의 물품을 구입했다.