페덱스 킨코스의 지불 카드 시스템에 대한 보안 결함을 둘러싼 지리한 공방이 이어지고 있다.
C넷은 페덱스 킨코스가 최근 정보 보안 업체 시큐어 사이언스의 연구원들로부터 지불 시스템인 ‘익스프레스페이(ExpressPay)’에 대한 보안 미비와 해킹가능성을 제기한데 대해 이를 부인했고 이에대해 시큐어가 웹 사이트에 관련 사진과 비디오를 게재하는 사태에 이르렀다고 보도했다.
이 사진은 313달러37센트가 적립돼 있는 페덱스 킨코스 지불 카드를 보여 준다. 그러나 원래 페덱스 킨코스는 지불 카드의 적립금 한도를 최고 100달러까지만 허용한다. 비디오는 연구원들이 카드 번호를 바꾸고 카드의 적립금 액수를 늘이는 장면을 보여 준다.
캐나다 소재의 엔트랙 테크놀로지스(enTrac Technologies)가 개발한 페덱스킨코스의 지불 시스템은 금액을 충전할 수 있는 칩 내장 카드를 사용하는 방식으로 설계됐다.
시큐어사이언스 연구원들은 △일단 보안 코드가 알려지면 이 카드에 저장된 데이터가 자유롭게 다시 쓰여질 수 있다는 점 △보안 코드를 포함한 이 카드의 어떤 데이터도 암호화되지 않는다는 점 등의 결점을 발견했다고 주장했다.
연구원들은 일단 보안 코드가 공격자에게 노출되면 이 카드에 충전된 돈과 비밀 번호가 바뀔 수 있으며, 바뀐 카드는 무료 서비스를 받거나 페덱스 킨코스 자동 단말기에서 돈을 인출하는 데도 이용될 수 있다고 지적했다.
연구원들은 “이 카드의 보안 코드를 입수한 사람은 누구라도 저렴한 스마트 카드 리더기를 이용해 이 카드에 저장된 데이터를 자유롭게 다시 입력할 수 있다”고 말했다.
반면 페덱스는 최근 지적된 지불 카드 시스템의 보안 결함이 자사와 고객들에게 심대한 위협을 주지 않는다고 2일(이하 현지 시각) 밝혔다.
매기 실 페덱스 대변인은 이날 “우리는 페덱스 킨코스의 지불카드 시스템에 심각한 보안 위험이 있다고 믿지 않는다”며 “이 문제는 우리 고객들에게 영향을 미치지 않는다”고 밝혔다. 또 “보안은 페덱스 킨코스가 가장 우선시하는 점”이라며 “우리는 계속해서 보안 수단을 업데이트하고 있다”고 강조했다.
페덱스 킨코스는 세계 최대 항공 특송회사 페덱스(FedEx)가 지난 2004년 문서 솔루션 서비스 업체 킨코스(Kinko’s)를 인수·합병해 탄생된 업체다.
한편 시큐어 사이언스는 이 지불 시스템을 안전하게 이용하는 방법으로 △지불 카드에 정보를 저장하기 전 데이터를 암호화 △암호화 기능이 내장된 카드를 사용하는 시스템으로 교체 △지불 카드에 저장된 금액이 데이터베이스에 저장된 금액과 현저히 다른지 조회 △무효화된 비밀번호를 가진 카드 사용 불허 △현금이 인출된 카드의 번호 무효화 등을 제시했다.
정소영기자@전자신문, syjung@