무선랜 보안 결함 문제로 백화점을 비롯한 대형 유통사들이 고민에 빠졌다. 이런 가운데 관련 해킹 툴까지 급속 유포되고 있어 상황이 복잡하게 흘러가고 있다.
무선랜은 백화점 등에서 사용되는 무선 카드결제기나 무선 판매시점관리(POS) 단말기에 필수적으로 사용되는 기술. 무선 카드결제기를 이용해 신용카드 정보를 읽고 승인을 받은 뒤 결제할 때 사용되는 것이 바로 무선랜 기술이다.
하지만 최근 들어 무선랜 구간에 오가는 정보를 빼낼 수 있는 해킹툴이 시중에 버젓이 유포되고 있어 비상이 걸렸다. 이 해킹 툴들을 이용할 경우엔 특별한 해킹 기술 없이도 다른 사람의 정보를 중간에서 가로챌 수 있기 때문이다.
◆WPA 방식 지원 위해서는 하드웨어 교체해야
현재 시중에서 유통되고 있는 대표적인 무선랜 해킹 툴은 '에어크랙,' '웹크랙' 등. 이 해킹툴들은 개인휴대단말기(PDA)· 판매시점관리(POS) 단말기 등과 무선접속장치(AP) 사이를 오가는 패킷을 축적, 데이터를 확보한 뒤 바로 정보를 빼낼 수 있는 것으로 알려졌다.
특히 POS 단말기를 이용해 고객정보를 주고 받는 백화점과 유통업체의 경우 정보 유출 시 그 피해는 더욱 커질 수 있어 대책 마련이 시급하다.
이처럼 상황이 급박하게 돌아가자 정보통신부는 최근 시중 백화점, 유통사 등에 '무선랜 암호화 조치 현황조사 및 개선권고 통지'를 내려 보냈다. 신용카드 결제 등 무선랜으로 고객정보를 송신하는 업체는 암호화조치를 완료하도록 권고한 것이다.
정통부 지침의 골자는 MAC 주소 인증이나 WEP 방식을 사용하는 업체들에게 WPA 방식을 도입하라는 것. MAC 주소 인증은 해커가 고유 MAC 주소를 변조할 경우 바로 AP에 접속할 수 있으며, WEP 방식 역시 인증하는 키 값이 고정돼 쉽게 노출될 수 있다. 반면 WPA는 WEP과는 달리 키 값을 자동으로 변경할 수 있어 보안 신뢰도를 높였다는 것이다.
문제는 시중 백화점과 유통업체들에 설치돼 있는 PDA·POS 등 무선랜 장비들이 대부분 암호화 조치를 하지 않았거나 WEP 암호화 기술만을 제공하는 구형이라는 점이다.
데이터를 암호화해 전송하는 방법이 대안으로 떠오르고 있긴 하지만, 이를 위해선 기존 구형 하드웨어 장비들을 전면 교체해야 한다.
이렇다보니 시중 백화점 및 유통사들은 소극적일 수밖에 없다. POS 등 하드웨어를 전면 교체해야 한다면 그 비용이 만만치 않기 때문이다. 정통부가 백화점과 유통사 50여곳을 대상으로 무선랜 암호화 조치 현황 파악을 위해 지난 9일부터 23일까지 2주간 각 해당사의 상황을 보고하라는 공문을 보냈지만 현재 참여하고 있는 유통사는 극소수에 불과한 것으로 알려졌다.
◆유통업체들 "차라리 과태료 무는 게 낫지 않을까"
한 유통업계 관계자는 "PDA 한 대당 100만원 정도를 호가하는데, 전 지점의 PDA를 전면 교체하라고 한다면 업체로서 큰 부담이 아닐 수 없다"면서 "기존 POS 단말기를 이용하면서 무선랜 보안을 강화할 수 있는 방법이 있다면 도입하고 쉽지만, 지금으로선 그 방법을 찾기 쉽지 않아 눈치만 보고 있는 실정"이라고 말했다.
시스코 김준표 과장은 "무선랜 자체 보호와 데이터 암호화가 최선책인 것은 사실"이라고 강조했다. 그는 또 "실제 POS 단말기에 사용되는 소프트웨어의 경우 시장 규모가 작다 보니 PC에 비해 보안 모듈의 안정성이 떨어질 뿐만 아니라 '규모의 경제'를 우선으로 하는 업체 특성상, 개발에 적극 나서지 않고 있다"고 말했다.
한 유통사는 아예 "정보통신망 이용촉진 및 정보보호 등에 관한 법률에 따르면 무선랜 보안 조치를 취하지 않았을 경우 과태료를 1천만원 물게 돼있더라"며 "차라리 과태료를 무는 것이 낫지 않겠느냐"고 말했다.
유넷시스템 이상준 연구소장은 "비인가된 접근, 네트워크 접속 오남용, 도청 등을 막을 수 있는 유무선 통합 인증솔루션 '애니클릭 어스' 제품으로 영업을 하고 있지만, 이 역시 POS 교체 등의 이슈에 막혀 백화점과 유통사들이 선뜻 나서지 않고 있다"고 말했다.
이에 대해 정통부 이두원 사무관은 "무선랜 암호화 조치 적용여부 현장 점검을 11월 초까지 마칠 예정"이라며 "하드웨어 교체가 쉽지 않을 것으로 예상, 각 백화점과 유통사의 사정을 고려해 무선랜 암호화 적용 시기를 제시할 것"이라고 말했다.
이에 대해 할인점을 애용하는 한 소비자는 "미국의 경우 유통업체에 들어가는 장비의 경우 기본적인 설정에 보안이 포함되도록 규정해놓고 있다"며 "사후약방문식의 대책으로 정부와 유통업체가 갈팡질팡하는 사이 소비자만 개인정보 유출 문제로 불안에 떨고 있어야 하냐"고 반문했다.
서소정기자 ssj6@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기