서울 시내 대형 백화점의 무선 결제 시스템이 매우 취약해 카드 구매 및 거래 내용 등 개인정보 유출 우려가 매우 높은 것으로 드러났다.
성균관대 인터넷보안연구실(실장 최형기 정보통신공학부 교수)은 지난 두 달간 을지로·명동·잠실·압구정 등 유동인구가 밀집한 서울시내 백화점 10곳을 대상으로 무선 인터넷 암호체계를 시험한 결과, 대부분이 보안에 취약한 무선 인터넷 서비스를 사용하고 있다고 밝혔다.
실험 대상인 백화점에서 사용하는 무선인터넷 결제 시스템은 대부분 WEP(Wired Equivalent Privacy) 기법의 무선 인터넷 암호화 방법을 사용하고 있었다. WEP은 특별한 보조 장치 없이 일반적으로 사용하는 노트북과 무선 랜카드만을 이용해 비밀키를 쉽게 찾아낼 수 있는 허술한 암호화 방법이다.
현재 백화점들은 무선 AP가 허용하는 범위 내에서 누구나 쉽게 접속할 수 있는 무선 인터넷을 사용해 결제를 처리한다. 이 무선인터넷은 해킹의 위험뿐 아니라, 비밀키가 노출될 경우 백화점 매장에서 사용하는 암호화된 거래 정보가 공개되기 때문에 거래내역 조작 및 고객 정보의 노출할 수 있다.
10개 백화점 중 아예 암호화로 보호되지 않는 무선 인터넷 환경인 곳이 2곳이었으며, 비밀키로 무선 인터넷을 보호했더라도 WEP 암호화 기법을 사용해 쉽게 뚫렸다.
인터넷보안연구실은 WEP 암호화 기법이 확인된 AP 중 하나를 임의로 선택해 복호화를 시도한 결과 성공률이 75%였으며, 복호화에 걸린 시간은 데이터 수집시간을 포함해 평균 30분이 소요됐다고 설명했다.
최형기 교수는 “대부분의 백화점은 취약한 무선 인터넷 서비스로 대책마련이 시급하다”며 “무선 인터넷 보안에 대한 안전한 규격인 802.11i를 사용하거나 WEP보다 안전한 WPA(Wi-Fi Protected Access)를 사용하는 것을 권고한다”고 강조했다.
김인순기자@전자신문, insoon@