금전등록기 관리업체서 개인정보유출 (사진 광주=연합뉴스)
[쿠키 사회] 신용카드번호 등 1200여만건의 개인정보가 일명 POS(Point Of Sales) 관리업체 서버에서 유출된 사실이 경찰에 의해 밝혀졌다. POS는 금전등록기와 컴퓨터 단말기 기능을 결합한 일종의 판매정보관리시스템으로 마트와 식당 등 대부분 업소에 일반화돼 있다.
유출된 개인정보는 서울의 모 POS관리업체가 아무 보안장치 없이 백업서버에 엑셀 파일 등으로 저장해 관리하던 것이다. 경찰조사결과 지난해 미국 내 특정 아이피에서 이들 자료를 20여 차례 걸쳐 모두 빼간 것으로 파악돼 집단적 피해가 우려되고 있다.
광주 서부경찰서는 4일 카드결제기 가맹점에서 고객들이 신용카드로 결제한 1200여만건의 개인정보를 방치한 혐의(개인정보보호법 위반 등)로 서울 모 POS 판매·관리 업체 직원 최모(39)씨를 불구속 입건했다. 서버관리 책임자인 최씨는 서울과 경기지역 600여개 카드가맹점에 설치된 POS 1000여대를 관리해왔다. 경찰은 문제가 된 POS 관리업체에 긴급 서버접근제한 조치를 강화해 추가 유출을 막았다고 밝혔다. 경찰은 각 카드가맹점을 상대로 영업을 하는 POS 관리업체가 전국적으로 300여곳에 이른다고 밝혔다. 따라서 언제든 이들 업체에서도 유사한 개인정보 유출이 이뤄질 수 있다는 것이다. 이번에 유출된 정보는 카드번호 16자리와 결제금액과 날짜, 카드회사 등이 담긴 카드관련 정보 450여만건과 포인트 현황, 이름, 휴대전화 번호, 주소 등을 알 수 있는 포인트 관련 정보 750만여건 등이다. 경찰은 구글 검색에 특정 카드번호를 입력해 검색하면 해당 POS 관리업체의 백업서버에 접속이 이뤄진다는 첩보를 확보해 직접 수사를 벌인 결과 이 같은 사실을 확인했다고 설명했다.
금전등록기 관리업체에서 유출된 개인정보 (사진 광주=연합뉴스)
실제 구글 검색사이트에 신용카드 번호만 간단히 입력하면 해당 신용카드로 결제한 내역과 결제 장소, 일시, 할부 여부까지 상세히 알 수 있는 자료가 검색되는 상황이다. 검색된 화면에서 다른 폴더를 들여다보면 포인트 회원으로 가입할 당시 해당 고객이 스스로 입력한 개인정보도 고스란히 노출된다. 경찰은 식당과 마트, 술집에서 소비자들이 일상생활을 하면서 결제한 카드정보 등이 고스란히 인터넷에 떠돌고 있는 것이라고 덧붙였다.
POS 관리업체들은 원활한 카드가맹점 관리를 위해 관행적으로 백업서버에 엑셀 파일 등으로 저장해 관리한다. 하지만 그동안 특별한 보안조치 없이 허술히 보관해온 탓에 구글 등에서 1~2분간의 간단한 검색만으로 외부에 쉽게 노출되는 것이다.
경찰 수사결과 미국 내 특정 아이피 주소에서는 지난해 1월부터 최근까지 한 달에 2~3차례씩 모두 20여 차례 이상 해당 업체의 백업서버에 접속해 개인정보를 손바닥처럼 들여다 본 것으로 파악됐다.
구글에 카드번호치면 개인정보 '줄줄' (사지 광주=연합뉴스)
경찰은 해외 특정국가의 경우 신용카드번호만 있어도 결제가 가능해 유출된 개인정보가 범죄에 악용될 위험성이 높다고 강조했다. 그러나 미국 수사 당국과의 공조수사가 원활하지 못해 미국 내 특정 아이피 접속자가 누구인지 얼마만큼의 개인정보를 유출해 갔는지는 아직 밝혀내지 못하고 있다.
경찰은 “지난해 반복적으로 서버에 접속한 것으로 보아 누군가 불순한 의도로 개인정보를 지속적으로 빼간 것 같다”고 말했다. 경찰은 신용카드 결제정보 등이 범죄에 악용될 가능성이 크지만 아직까지 구체적 피해사례가 접수되지는 않았다고 밝혔다.
경찰 관계자는 “개인이 자신의 정보가 유출됐는지 여부를 확인할 마땅한 방법은 없다”고 말했다