해커가 POS 기계를 조작해 신용카드 정보를 훔친 사례가 있나요?

1. 해커가 POS(Point of Sale) 기계를 조작해 신용카드 정보를 훔친 사례가 있나요?
네. 대표적으로 2008년 미국의 대형 편의점 체인에서 POS 스키밍(skimming) 기법을 이용해 4천만 건 이상의 카드 정보를 탈취한 사건이 있으며, 2009년 미국 하트랜드 페이먼트 시스템즈(Heartland Payment Systems)에서는 POS 기기 내 악성코드를 심어 1억 건이 넘는 카드 정보를 빼간 대형 해킹 사고가 있었습니다.

2. 해커들은 어떤 방식으로 POS 기기를 조작하나요?
• 외부 스키머 설치: 카드 리더기에 물리적으로 부착된 불법 스키머 장치를 통해 카드 마그네틱 정보를 복제
• 악성코드 감염: POS 운영체제(Windows 등)에 멀웨어를 설치해 메모리상에 흘러드는 카드 번호·만료일·CVV 등을 실시간으로 캡처
• 무선 전송: 수집된 정보를 블루투스·Wi-Fi 모듈을 통해 해커가 원격으로 수집
• 직원 기기 침투: 내부 직원의 단말기나 원격 데스크톱 접속 계정을 탈취해 내부망에 접근

3. 주요 사례 요약
• 2008년 미국 편의점 체인: 마그네틱 스키머 부착으로 4천만 건 유출
• 2009년 하트랜드 페이먼트 시스템즈: POS 악성코드(“Blaster”) 감염, 1억 건 이상 탈취
• 2014년 미국 홈디포(Home Depot): 네트워크 해킹 후 POS 단말 5,600여 대에 PoSeidon 악성코드 설치, 5천만 건 이상 카드 정보 유출
• 2016년 유럽·아시아 일부 레스토랑·호텔 체인: 멀웨어 “RAM scraper”를 이용해 카드 메모리 데이터 추출

4. 해커들은 왜 POS를 노리나요?
• 대량 카드 데이터를 한 번에 뽑아낼 수 있어 수익 극대화 가능
• 결제 과정이 자동화돼 있어 포렌식 대응·탐지가 어렵고, 감염 후에도 장기간 은밀히 작동
• 전 세계 수백만 곳에 퍼져 있는 POS 기기가 공격 대상

5. 피해 규모와 영향은 어떠한가요?
• 금융사·카드사 부정 결제 보상 비용 급증
• 가맹점 신뢰도 하락, 영업 손실
• 고객 개인정보 유출로 인한 2차 피해(스미싱·피싱 등)
• 법적·규제적 제재 강화(PCI DSS 위반 시 과태료·제재)
6. 가맹점·업체의 예방·대응책은?
• 정기적 POS 펌웨어·소프트웨어 업데이트 및 보안 패치 적용
• 카드 리더기 주변 정기 점검(물리적 변형·부착물 유무 확인)
• 내부망·결제망 분리, 방화벽·IDS/IPS로 외부 침입 차단
• 카드 데이터는 메모리상에서 평문으로 오래 유지하지 않도록 암호화 모듈(TDES, AES 등) 적용
• PCI DSS(결제 카드 산업 데이터 보안 표준) 준수 및 외부 보안 진단

7. 소비자가 주의해야 할 점은?
• 결제 시 카드 삽입·터치 단말기의 이질감(느슨함, 저부가물)을 확인
• 결제 내역 문자·앱 알림을 즉시 확인해 이상 거래 감지 시 즉시 카드사에 신고
• 공용기기(택시, 이동식 판매대 등) 이용 시 가능하면 모바일 결제(OTP·간편결제) 선호
• 의심스러운 단말에서 결제해야 할 때는 카드 삽입 대신 NFC·QR코드 결제를 요청

8. 감염 여부를 어떻게 확인할 수 있나요?
• POS 기기 로그 분석: 비인가 프로세스·네트워크 접속 기록 여부 점검
• 원격 모니터링 솔루션 도입: 메모리 내 비정상적 카드 데이터 접근 패턴 포착
• 물리 점검: 카드 리더 모듈 분해 검사, 전원·통신 부위 개봉흔 확인
• 카드사·전문 보안업체와 협업해 정기 보안 진단

9. 적발 시 법적 처벌 수준은?
• 대한민국 「정보통신망법」·「개인정보보호법」 위반 시 5년 이하 징역 또는 5천만 원 이하 벌금
• 「전자금융거래법」 위반 시 10년 이하 징역 또는 1억 원 이하 벌금
• 미국의 경우 카드사·금융기관 제소, 수백만 달러 규모 과징금 및 형사 처벌

10. 결론 및 권고
해커들은 여전히 POS 스키밍·멀웨어 삽입을 진화시키고 있으므로, 가맹점은 물리·논리 보안 대책을 함께 강화해야 합니다. 소비자는 결제 시 단말 상태를 살피고, 알림을 즉시 확인하여 이상 징후 발견 시 신속히 대응함으로써 피해를 최소화할 수 있습니다.

네, 해커들이 POS(point-of-sale) 단말기를 직접 조작하거나 그 내부에 악성코드를 심어 신용카드 정보를 탈취한 사례는 여러 차례 보고돼 왔습니다.

대표적인 사례들을 중심으로 살펴보면 다음과 같습니다.

1. Target(타겟) 매장 해킹 사건(2013년) 2013년 미국 대형 유통체인 타겟(Target)은 연말 쇼핑 시즌을 앞두고 해커들이 BlackPOS(또는 Kaptoxa)라는 메모리 스크래핑(memor y scraping) 악성코드를 POS 시스템에 심어 1억 건이 넘는 카드 데이터를 탈취당했습니다.

공격 수법은 다음과 같습니다.

• 초기 침투: 타겟의 HVAC(난방·환기·공조) 업체 직원 계정 정보를 탈취해 내부 네트워크에 접근 • 권한 상승 및 이동: 내부망을 돌아다니며 관리 서버와 POS 단말기가 연결된 구역까지 침투 • 메모리 스크래핑: 고객이 카드를 긁을 때 RAM 상에 잠시 남아 있는 트랙 데이터를 수집 • 외부 전송: 탈취한 데이터를 암호화해 C2 서버로 전송 이 사건으로 약 40여 일간 운영한 결과, 1억 1천만여 건의 개인·카드 정보와 1천만여 건의 연락처 정보가 유출됐습니다.



2. Heartland Payment Systems 해킹(2008~2009년) 대형 결제대행업체인 하트랜드 페이먼트 시스템은 SQL 인젝션 공격으로 내부망에 침투당했습니다.

해커들은 네트워크 구간에 패킷 스니퍼 장치를 설치해 실시간으로 카드 트랙 데이터를 가로채고, 외부 서버로 전송했습니다.

당시 탈취 규모만 1억 건 이상으로 추정되며, 금융 산업 전반에 걸친 보안 기준 강화 계기가 됐습니다.



3. Chewbacca(2012년경) ‘치와바카(Chewbacca)’라고 불리는 POS 타깃 악성코드는 메모리 스크래핑과 키로깅(keylogging) 기능을 모두 갖추고 있었습니다.

미국·유럽의 레스토랑, 소매점 등에 설치된 POS 단말기에 숨어들어 고객이 카드를 긁자마자 RAM에서 트랙 데이터를 빼내고, 타이핑 정보를 추가로 훔쳐갔습니다.

한때 배달 앱·예약 시스템까지 감염시켜 카드 외에도 주소·전화번호 같은 민감 정보를 대량 탈취했습니다.



4. Backoff(2014~2015년) Backoff는 중소형 소매·숙박업체의 POS 장비를 노리는 악성코드로, 훔친 데이터를 ZIP 압축 후 원격 서버로 곧바로 전송하는 경량화된 스크래핑 모듈을 탑재했습니다.

특히 세계 각지의 호텔이나 레스토랑 포스 시스템에 광범위하게 침투하면서 7만 대 이상의 POS에서 카드 정보를 가로챘다는 분석도 나왔습니다.



5. FastPOS·Pendroid·Alina 등 최근 악성코드 • FastPOS: 설치 즉시 10초 안에 메모리 스크래핑 데이터를 외부로 전송해 탐지를 회피 • Pendroid: 안드로이드 기반 POS 단말기를 노려 카드 정보와 사용자를 동시에 탈취 • Alina: 메모리 스크래핑, 키로깅, 네트워크 스니핑 기능이 결합된 멀티모듈 악성코드로 2016년 이후에도 계속 진화 이들 악성코드는 스크립트 언어와 자동화 툴을 조합해 ‘좌석벨’ 같은 정상 프로세스로 위장하고, 수집 후엔 TOR나 SSH 터널을 통해 암호화된 채널로 데이터를 전송합니다.



6. FIN7(퍼스트 사이버 범죄 조직) 실제 물리적 조작 사례 러시아계 해킹 조직 FIN7은 POS 단말기 카드 리더기 안쪽에 스키밍(무선 송신·소형 카메라 등) 하드웨어를 몰래 장착해 마그네틱 트랙 데이터를 수집하기도 했습니다.

2015년부터 미국 대형 레스토랑·소매체인 300여 곳을 상대로 수개월에 걸쳐 기기 내부를 분해·조립하며 스키머를 심어, 카드 번호·보안 코드·만료일 등을 대규모로 빼돌렸습니다.



7. 국내 사례 국내에서도 유사한 수법의 범죄가 여러 건 적발됐습니다.

2018년 A커피전문점 프랜차이즈 POS 단말기에 메모리 스캐닝 악성코드를 설치해 2만여 건의 카드 정보를 유출한 사건, 2020년 주유소 결제기 내부에 소형 스키머를 부착해 고객 카드 데이터를 실시간 무선 전송하던 사례 등이 대표적입니다.

보안 조사당국은 단말기 관리자 권한 설정, 정기 펌웨어 점검, 이상 트래픽 모니터링 등의 대응 지침을 마련해 배포했습니다.

종합해 보면, 이들 공격은 크게 ‘소프트웨어적 침투(메모리 스크래핑·키로깅)’와 ‘하드웨어 스키밍(물리적 장치 개조)’으로 나뉩니다.

방어를 위해서는 • POS 단말기 및 주변 장비의 관리자 패스워드 강화 • 운영체제·펌웨어·백신의 정기 업데이트 • 내부망 세분화(VLAN·방화벽) • 카드 트랙 데이터 암호화(PCI DSS 준수) • 이상 트래픽·프로세스 모니터링 등을 반드시 적용해야 합니다.

이러한 보안 대책 없이는 언제든 비슷한 수법으로 정보 유출 사고가 되풀이될 수 있습니다.