삼성페이 핵심기술 자회사 '루프페이' 해킹당해

삼성

(샌프란시스코=연합뉴스) 임화섭 특파원 = 삼성의 자회사인 미국 루프페이가 올해 3월 혹은 그전에 중국 해커들에게 해킹을 당한 사실이 드러났다고 미국 일간지 뉴욕타임스(NYT)가 7일(현지시간) 보도했다.

삼성전자는 올해 2월 2억5천만 달러(2천900억 원)에 루프페이를 인수한 후 이 회사의 마그네틱 보안전송(MST) 기술을 '삼성 페이'의 핵심 기술로 사용해 왔다.

MST는 스마트폰을 이용한 결제를 마그네틱선 카드 단말기로도 할 수 있도록 해 주는 기술로, IC 칩 카드 단말기 보급이 아직 초기 단계인 미국에서 특히 주목을 받아 왔다.

NYT는 '아직 진행 중인 조사에 관해 설명을 들은 몇 명의 사람들과 삼성과 루프페이 임원들'을 인용해 이렇게 전했다.

보도에 따르면 '코도소 그룹' 혹은 '선쇼크 그룹'으로 불리는 해커들이 미국 매사추세츠 주 벌링턴에 있는 루프페이의 컴퓨터 네트워크에 올해 3월이나 그전에 침입한 사실이 드러났다.

루프페이 임원들은 해커들이 MST 기술을 빼내려고 했던 것으로 보인다고 말했다.

루프페이 최고경영자이며 삼성 페이의 공동 총지배인인 윌 그레일린은 해커들이 루프페이의 회사 네트워크에는 침입했으나, 결제 관리를 돕는 제작 시스템에는 침입하지 못한 것으로 보인다고 말했다.

그레일린은 보안 전문가들이 여전히 루프페이의 시스템들을 들여다보고 있으나, 아직 해커들이 삼성 시스템들이나 소비자 데이터에 침입한 흔적이 발견되지는 않았다고 전했다.

루프페이는 올해 8월 말이 돼서야 해킹을 당한 사실을 알게 됐다.

이는 별도 조사에서 코도소 그룹의 행적을 추적하던 기관이 이 과정에서 루프페이의 데이터를 발견하고 이를 루프페이에 통보해 준 데 따른 것이다.

루프페이와 삼성의 임원들은 감염된 기계들을 제거했으며 고객 결제 정보와 개인 기기들은 해킹에 따른 영향을 받지 않았다고 확신한다고 말했다.

이들은 또 이 사건 탓에 삼성 페이의 시장 출범을 늦출 필요가 없었다고 덧붙였다. 삼성 페이 서비스는 한국에서 8월 20일, 미국에서 9월 28일에 각각 개시됐다.

삼성의 정보보호책임자인 달린 세드리스는 성명을 내고 "삼성 페이에는 영향이 없었고 개인 결제 정보는 위험에 처한 적이 없었다"며 "이는 루프페이 회사 네트워크를 겨냥한 고립된 사건이었고, 루프페이 회사 네트워크는 물리적으로 분리된 네트워크였다"고 주장했다.

세드리스는 또 "루프페이 회사 네트워크 문제는 즉각 해결됐으며 삼성 페이와는 아무런 관련이 없었다"고 주장했다.

그러나 NYT는 '조사에 관해 브리핑을 받은 사람 두 명과 코도소 해커들을 추적해 온 보안 전문가들'의 발언을 인용해 올해 8월 이 사건이 드러난 후 해커들이 무엇을 했고 무엇을 하지 않았는지 단언하기에는 너무 이르다고 말했다.

일단 해커들이 들키기 전에 5개월간 루프페이의 네트워크 내부에 있었으며, 코도소 그룹은 해킹 대상 시스템에 숨겨진 통로를 만들어 놓는 수법을 쓴다.

최초 침입이 이뤄진 후 오랜 시간이 지나도 해커들이 계속 침입했을 것이며, 다단계 방식으로 연쇄적 해킹이 이뤄졌을 수 있다는 것이다.

예를 들어 코도소 그룹은 올해 2월 포브스닷컴 웹사이트를 악성코드에 감염시키고 이를 통해 이 웹사이트를 방문한 이들의 기기를 감염시켰다. 이는 시작에 불과했으며 해커들은 이를 발판으로 미국 국방 분야의 목표물을 노리기 시작했다.

미국 상공회의소연맹이 2011년 해킹을 당한 사실을 발견한 후 대응 조치를 완료했다고 오판했으나, 몇 달이 지나서야 사무실 프린터와 온도계 등이 중국의 컴퓨터에 여전히 정보를 전송하고 있다는 사실이 드러난 적도 있다.

삼성은 루프페이가 해킹을 당했다는 사실을 파악하고 나서 38일 뒤에 미국에서 삼성 페이를 출범시켰다.

NYT는 해킹 사건을 추적하는 비영리기구 포니먼 인스티튜트의 자료를 인용해 해커들의 공격을 완전히 해결하는 데 걸리는 평균 기간이 46일이며 루프레이 사건의 경우처럼 정교한 중국식 해킹 사건은 해결하는 데 시간이 훨씬 더 오래 걸리는 것이 보통이라고 지적했다.

루프페이는 8월 21일에 사설 업체 두 곳을 고용해 조사를 시작했으나, 법집행 당국에는 이를 통보하지 않았다고 밝혔다.

또 조사를 벌이던 사설 업체 두 곳 중 적어도 한 곳은 루프페이 본사에서 백업 데이터만 챙기고 사흘만에 회사측 요청으로 현장에서 떠나야 했다고 NYT는 전했다.

루프페이는 고객 데이터나 금융정보가 도난당하지 않았다고 믿는다며 따라서 이를 법집행 당국에 알릴 필요가 없다고 그레일린은 말했다.