윈도 기반의 무인자동발급기의 해킹이 가능한 것으로 알려져 충격을 던져주고 있다.
윈도 기반 무인자동발급기는 영화티켓 무인발급기나 행정자치부의 주민등록 등·초본자동발급기 등 일반인이 광범위하게 사용하고 있는 자동화기기다. 만의 하나 이 단말에서 실제 해킹이 가능하다면 주민등록번호와 신용카드 등 개인정보가 유출되는 사건으로 이어질 가능성이 매우 크므로 사실 확인과 대책 마련이 시급한 상황이다.
19일 국내 보안전문가 그룹인 시큐어연구회(회장 이경태)가 밝힌 ‘무인자동발급기 보안취약점 보고서’에 따르면 카드로 결제하거나 인증해 문서를 자동 출력할 수 있는 시스템은 카드를 인식하는 리더로 잘못된 데이터를 보낸 후 버퍼오버 플로어를 발생시켜 시스템 운용 권한을 획득할 수 있다.
이 보고서에 따르면 변조된 카드를 리더에 긁게 되면 해당 화면이 일반 PC의 윈도 화면으로 옮겨가 내부에 있는 터치스크린을 이용해 PC처럼 사용할 수 있다. 주민등록 등·초본발급기도 동일 과정을 밟기 때문에 카드 형태의 주민등록증 조작으로 오류가 일어날 가능성이 있다는 주장이다.
특히 이때 일부 단말은 원격에 있는 타인의 서버로 ‘셀(윈도·도스 등에서 명령어를 행사할 수 있는 창)’을 전송해 외부에서 자유롭게 시스템을 제어할 수 있어 결국 해킹에 따른 정보유출이 가능하다.
전국에서 영화티켓 무인발급기 150여대를 운영하고 있는 CJ CGV 측은 “무인발권기가 윈도 기반인 것은 맞지만 입력방식이 없는 상황에서 셀 권한을 원격으로 보낼 수 있는지 의문”이라며 “특히 방화벽이 설치돼 있기 때문에 단말을 통한 내부시스템 접근은 어려울 것”이라고 밝혔다. 내부 보안 및 정보전략을 담당하고 있는 정보전략파트의 김정훈 대리는 “일부 발견되지 않은 보안 취약점이 있을 수 있다”며 “보고서에서 지적하는 방식의 해킹 가능성을 적극 타진해볼 계획”이라고 밝혔다.
주민등록 등·초본자동발급기를 담당하고 있는 행자부 행정정보화팀 측은 “아직까지 무인발급기 해킹으로 인한 데이터 유출 가능성 등의 보고를 받은 적은 없다”며 “다만 IT 발전으로 해킹 가능성은 더욱 커지고 있기 때문에 본부 및 국정원과 협력해 보안강화에 심혈을 기울이고 있다”고 밝혔다.
주민등록 등·초본자동발급기는 지난 2000년부터 전국에 1443대가 보급됐으며, 작년 기준 510만건이 이용된 것으로 집계돼 같은 기간 220만건을 기록한 G4C보다 아직까지 사용률이 높다.
신혜선기자@전자신문, shinhs@