한국씨티은행 포스(POS)단말기 해킹 사고

침해 사고 정보
일자	2014/01/05
침해 정보	이름, 전화번호, 카드번호, 유효기간, OK캐시백 포인트카드 비밀번호 등
특징	POS 단말기에 악성코드를 유포하여 단말기 관리업체 원격 접근
피해크기	- 경찰청이 확인한 사고금액:  286건, 1억 2천만원(건당평균 약 45만원) + α (신고되지 않은 피해, 미수) - 개인정보 6만여건 (신한카드_3만 5000건, 국민카드_3만 3000건, 농협카드_3만건, 광주은행_1만 7000건, IBK기업은행과, 한국씨티은행등)
침해 사고 분석
경위	① 14.01.05 해커(이씨 등) 캄보디아에서 전남 목포 H커피 전문점 POS 단말기 원격 접속 > POS 단말기를 이용해 단말기 관리업체 서버에 접근 ② 14.01.26 관리업체 서버에 저장된 개인정보 탈취 > 80여개 가맹점에서 약 20만건의 개인정보 유출 > 이씨 등은 유출 카드정보를 이용해 복제카드를 만든 후 포인트카드 비밀번호와 일치한 복제카드로 해외 및 국내 현금인출기(ATM)에서 현금 인출 및 현금서비스 이용 ※ 대부분의 사용자들이 OK캐시백 비밀번호와 신용카드의 비밀번호를 동일하게 사용하는 점에 착안하여 범행 계획 ③ 14.01.28 BC, 신한, 삼성 등 일부 카드사는 고객 카드 부정 사용 사실 파악 후 경찰 신고 > 14.02 카드사에 압수수색 영장을 집행, 피해 현황을 제출 요구 ④ 14.03.04 씨티은행 경찰 출석 후 피해 사실 진술 ⑤ 14.04.10 경찰 수사 결과 발표 > 피해 내역 320만건을 분석해 유출 고객 20만 5천명의 자료를 금감원에 전달 (14.04.03) > 금감원은 카드사별로 분류 후 해당 카드사에 전달 (14.04.07) ⑥ 14.04.28 검찰, 경찰 수사 중인 주범 이씨 외 일당 기소
원인	① POS 단말기의 보안상 취약점으로 인한 악성코드 유포 - POS 시스템은 대부분 저사양 컴퓨터에 관련 프로그램이 운용 > 메모리 1GB 정도의 낮은 사양과 보안 프로그램도 없으며, 윈도 업데이트 또한 이뤄지지 않았음 > POS 시스템을 본래 목적 외에 인터넷 검색 등의 용도로 사용하는 경우도 존재 - 카드를 POS에 긁을 경우 카드 번호가 노출되어 손 쉽게 복제하여 사용이 가능 ② 한국씨티은행의 늦은 대응으로 인한 피해 규모 증가 - POS 단말기 해킹 사고를 경찰로부터 통보받고도 한달 후 경찰에 피해 사실 신고 - 자사의 불법 카드 사용이 연이어 발생하는데도 사고 원인, 피해 현황 등 기초적인 사실파악을 하지 못함
조치	① 금융감독원 - 14.04.07 유출된 고객명단을 10곳 카드사에 전달해 FDS시스템을 등록, 정밀 감시하라고 긴급 지시 > 부정사용 적발 시 수사기관에 즉각 통보 - POS 단말기 등을 조속히 IC단말기로 전환 추진 > 보조 IC리더기 설치 등을 통해 14년도 말까지 IC 결제가 가능하도록 전환 > 'IC단말기 전환전담반'을 구성 및 IC결제를 유도하는 IC우선승인제를 시행 - 신용카드 가입신청서와 정보 수집·제공 동의서 개편 - 카드사와 VAN사간 '업무위탁 처리 지침'을 마련해 카드사가 VAN사 위탁 업무를 평가·점검하도록 유도 - 카드 부정사용을 막기 위해 5만원 이상 결제시 문자알림 서비스 무료 제공 - 소비자가 금융사의 영업목적 연락에 대해 중지를 요청할 수 있는 '연락중지 청구 통합사이트' 개설 - 소비자 '명의도용방지 서비스'에 가입 유도 ② 카드사 - 카드 위변조 사고로 인해 발생하는 피해에대해 전액 보상 - 포인트카드를 동시에 사용한 카드 회원에 대해서는 사고 예방차원에서 해당 카드사가 교체 발급 ③ VAN사 - 여신전문금융업법에 따라 금융위에 등록 - 금융위가 정하는 IT안전성 기준 준수 및 신용정보 보호 의무를 부여 - 대리점에 관련 업무를 위탁하는 경우 대리점의 법규 준수 여부에 대해 관리·감독을 철저히 하도록 유도 및 필요시 위탁 계약을 체결한 대리점도 금감원이 직접 조사
기타	① POS(Point of Sales) - 물품 판매와 품목, 가격, 수량 등의 유통 정보를 컴퓨터에 입력시켜 정보를 분석, 활용하는 관리 시스템 - 운영 정보 제공뿐 아니라 다양한 포인트와 맴버십 등 고객 관리까지 사용 - MS 방식 동작: 마그네틱을 입력장치에 통과시켜(=긁어서) 데이터를 전송 ② IC단말기 - IC 방식 동작: 플라스틱 카드에 IC칩을 내장하며, IC칩의 패턴을 입력장치의 단자에 밀착시켜(=꽂아서) 데이터를 전송 - MS 방식 대비 보안성이 띄어남 ③ 여신전문금융업법 제16조(신용카드회원등에 대한 책임) 제5항 신용카드업자는 신용카드회원등에 대하여 다음 각 호에 따른 신용카드등의 사용으로 생기는 책임을 진다. 1. 위조(僞造)되거나 변조(變造)된 신용카드등의 사용 2. 해킹, 전산장애, 내부자정보유출 등 부정한 방법으로 얻은 신용카드등의 정보를 이용한 신용카드등의 사용 3. 다른 사람의 명의를 도용(盜用)하여 발급받은 신용카드등의 사용(신용카드회원등의 고의 또는 중대한 과실이 있는 경우는 제외한다)