이 책은 무수히 많은 보안 관련 서적에서 지금껏 다루지 않았던, 현대인의 소비 생활에서 가장 중요한 컴퓨터 시스템이라고 할 수 있는 POS 시스템의 보안 위협에 관해 다룬다. 어떻게 하면 보안의 위협으로부터 안전한 POS 시스템이 될 수 있는지를 POS 시스템의 구조와 관련된 보안 위협을 설명하는 것을 시작으로, 보안 표준에서부터 방어에 필요한 기술의 활용 방법까지 설명한다.

이 책은 신용카드 회사가 아닌 비즈니스 관점에서 POS의 보안을 독특한 관점에서 다룬다. 소매상들이 구내에 설치된 총체적인 지불 인프라를 제대로 보호할 수 있는, 입증된 기술을 소개한다. 또한 기존에 구축된 인프라를 향상시키는 데 필요한 권고사항을 구현하는 과정에서 위험 평가와 보안 제어수준 측정을 위한 POS 취약성 등급 계산기에 대한 내용을 설명한다.

물리적 취약점과 설계 결함에 관련된 보안 위반 요소를 제거하는 방법

사용자와 서버 단의 지불 시스템을 보호하기 위한 점대점 암호화 사용 방법

PCI 보안 표준이 제공하는 보호의 간극을 좁히는 방법

신용카드를 분석해보고 지불카드가 위협에 노출될 수 있는 상황을 파악

PCI와 FIPS, ANSI, EMV, ISO 등을 비롯한 지불 애플리케이션 보안과 가장 관련이 깊은 표준 탐구

광범위한 공통의 보안 유출 시도에 대항할 수 있도록 설계된 강력한 지불 애플리케이션 보안 제어에 필요한 실제적인 권고사항

소프트웨어 판매회사에서 일하는 POS와 지불 애플리케이션 개발자, 개발 관리자, 그리고 소프트웨어 설계자와 서비스 제공자는 지불 애플리케이션에 관한 기본적인 내용과 그들의 제품을 보안 위협으로부터 어떻게 보호할 것인가를 배울 수 있을 것이다. 이 책의 후반부인 5장에서 9장에 이르기까지 이러한 그룹을 위한 몇 가지 예제 코드가 있다(해커는 C#으로 코딩을 하진 않지만, 필요하면 C 언어로 변환할 수 있다는 것을 알고 있다). 이 예제 코드는 http://www.wiley.com/go/hackingpos와 에이콘출판사 도서정보 페이지 http://acornpub.co.kr/book/pos-hacking에서 내려받을 수 있다.
QA 분석가와 관리자는 어떻게 지불 소프트웨어의 보안 침투 테스트를 만들고 수행해야 하는가에 관한 아이디어를 얻을 수 있다.
도소매상 분야에서 일하는 보안 설계자와 관리자, 컨설턴트, 의사결정권자는 지불 애플리케이션 벤더 사와 서비스 제공자로부터 납품 받는 소프트웨어와 하드웨어의 수준을 판별하기 위해 해당 벤더들에게 어떤 질문을 해야 하는지를 배울 수 있다.
소프트웨어/하드웨어 판매상과 도소매상의 분야에 함께 종사하는 솔루션 설계자, 프로젝트와 제품 관리자, 의사결정권자는 지불 솔루션의 구현과 관련된 위험, 그리고 그것을 완화하기 위해 필요한 노력을 측정하기 위한 잠재적 취약 영역에 관해 배울 수 있다.

좋은 프로그래머는 코딩 규칙과 모범 사례를 따른다. 기본적인 개발 원칙 중 하나는 코드를 단 몇 줄의 크기를 갖는 작고 상대적으로 독립된 조각으로 분리한다. 이렇게 하면 읽기 쉽고 이해하기 쉬워진다. 이 책에도 동일한 접근 방식이 적용돼 각각 한 절의 크기를 최소화한다. 본문은 특정 정보 조각을 쉽게 찾고 읽을 수 있게 단순화된 상세한 표를 포함하는 전문 기술 문서와 유사한 방식의 구조를 갖는다.

이 책은 다음과 같은 세 개의 주요 부분으로 나뉜다.
1. 기술적 개요
2. 공격과 취약점 설명
3. 문제의 해법(완화하고 방어하는 수단)

1부, ‘지불 애플리케이션 취약점 해부’(1, 2, 3장)에서는 전자 지불의 배경 기술을 설명하는 것으로, 2부와 3부를 위한 배경을 설정한다. 카드와 지불 애플리케이션 세계에 대한 설명이긴 하지만 모든 요소를 보안의 관점에서 다시 돌아본다.
1장, ‘지불 처리 절차’에서는 문제를 처리하는 시나리오와 예외 상황에 관한 자세한 설명을 통해 결제와 지불 분야에서 각 조직이 어떻게 거래 흐름에 참여하는가, 그들의 책임과 도전 과제는 무엇인가, 그리고 다양한 지불 거래 형태 간의 차이점은 무엇인가에 관해 다룬다.
2장, ‘지불 애플리케이션의 구조’에서는 기본적인 설계 개념을 소개하고, 서로 다른 배치 형태를 비교하며, 크게 인터페이스와 처리자로 나뉘는 지불 애플리케이션의 주요 기능 모듈에 관해 설명한다. 또한 연결 형태와 통신과 메시지 프로토콜의 차이점에 관해 설명한다.
3장, ‘지불 카드 산업’에서는 지불 애플리케이션에서 채용하고 있는 산업을 규제하는 보안 표준에 관해 서술하고, 어떻게 민감한 카드 소유자 정보를 도난으로부터 보호하는지 보여준다. 또한 상점과 소프트웨어 판매회사의 관점에서 PCI DSS와 PA-DSS의 차이점에 관해 설명한다. 지불 애플리케이션의 보안에 간접적으로 영향을 주는 (ISO와 FIPS와 같은) 표준에 관해서도 설명하며, PCI P2PE 표준에 관해서도 소개한다(P2PE의 구현에 관한 기술적인 자세한 사항은 8장에서도 설명한다).

2부, ‘POS 시스템 공격’(4, 5, 6장)에서는 어떻게 카드 정보가 POS 장치에서 도난당할 수 있는지, 왜 지불 애플리케이션의 특정 영역이 다른 영역에 비해 더 취약한지를 설명한다.
4장, ‘40개의 숫자를 황금으로 전환’에서는 지불 카드 내부에는 무엇이 있는지와 어떻게 이러한 지식이 악당을 도와 도난 카드에서 현금을 만들어내는지를 설명한다. 4장의 목표는 획득한 ‘덤프’로부터 현금을 얻기 위한 과정을 각 단계별로 설명해 신용카드 사기가 얼마나 쉽고 간단한지 보여주는 것이다. 은밀하며 간단하지만 중요한 기법인 인코딩과 엠보싱, 그리고 가짜 카드를 티핑하는 기법을 비롯한 ‘카딩’에 관해 자세한 설명을 제공한다.
5장, ‘보안 취약 구역 침투’에서는 기존 PCI 보안 규제에서 언급하지 않는 지불 애플리케이션의 취약점에 관해 설명한다. PCI는 훌륭한 보안 지침을 정의하지만, PCI와 다른 표준들은 여전히 지불 애플리케이션의 많은 영역을 다루지 못하고 있다. 또한 핀패드 장치와 POS 지불 처리의 설계 허점과 같은 지불 애플리케이션과 직접적으로 관련이 없지만, POS의 다른 영역을 대상으로 하는 소프트웨어 이외의 공격에 관해 설명하는 ‘보너스’ 절이 있다.
6장, ‘PCI 표준으로 보호되는 구역 침입’에서는 현재의 PCI 보안 표준이 보호할 것으로 추측되는 지불 애플리케이션의 취약 영역에 관해 다룬다. PCI 표준은 ‘저장되는 데이터’의 암호화를 요구하긴 하지만, 약한 암호화 메커니즘과 허술한 키 관리와 같은 저장 공간과 관련된 다양한 취약점이 존재한다.

3부, ‘방어’(7, 8, 9장)에서는 앞서 설명한 문제에 관해 생각해보고, 어떻게 카드 소유자 정보와 지불 애플리케이션 코드 보호를 위해 강력한 암호화 도구를 채용해 지불 애플리케이션을 대상으로 하는 공격을 방어할 것인가에 관해 설명한다.
7장, ‘지불 애플리케이션 암호화’에서는 지불 애플리케이션의 암호화에 관한 맥락에서 암호화의 기본적인 사항을 설명한다. 여기에서는 8장에서 정의하는 보호 통제의 구현을 위해 필요한 기초를 제공한다. 7장의 정보는 주요 암호화 원리와 대칭과 비대칭 암호화, 전자 서명, 암호화 표준과 같은 응용에 관한 설명을 포함한다. 또한 독자에게 민감한 카드 소유자 정보 암호화와 전자 서명, 점대점 암호화와 같은 강력한 보호 메커니즘을 설계하고 이해하는 데 필요한 지식을 제공한다.
8장, ‘카드 소유자 정보 보호’에서는 어떻게 현대 암호학의 힘이 POS에 카드를 긁는 순간부터 결제되기까지 민감한 카드 소유자의 정보 보호를 목적으로 활용될 수 있는가를 설명한다. 8장에서는 점대점 암호화라고 불리는 모든 것을 보호할 수 있는 기술적인 가장 최근의 업계 동향을 비롯해 메모리에 위치하고, 전송되며, 저장되는 모든 가능한 상태에서 데이터를 암호화하는 다양한 방법을 설명한다. 또한 하드웨어와 소프트웨어, 그리고 하이브리드와 같은 점대점 암호화 구현의 다른 형태를 정의하고, 어떻게 보안에 영향을 주는지 보여준다. DUKPT 키 관리 구조와 같은 전형적인 P2PE 솔루션의 필수 요소에 관해도 설명한다.
9장, ‘애플리케이션 코드 보호’에서는 어떻게 지불 애플리케이션 자체를 소매점의 위험한 상황에서 공격으로부터 보호할 것인가에 관해 설명한다. 메모리에 존재하고, 전송되며, 저장되는 민감한 데이터를 대상으로 하는 공격은 POS 시스템에 침투하는 유일한 방법이 아니다. 9장에서는 클라이언트와 서버의 인증서와 전자 서명, 그리고 코드 난독화를 통해 애플리케이션을 어떻게 보호할 것인가에 관해 설명한다.

부록 A, ‘POS 취약성 등급 계산기’에서는 상점과 소프트웨어 판매회사, 그리고 보안 평가자에게 필요한 도구를 설명한다. 설문은 가능성과 지불 애플리케이션 보안 통제의 질을 평가함으로써 보안 위험 평가를 돕는다.
부록 B, ‘용어 설명’에서는 약어를 해석하고 지불 애플리케이션의 보안 전문가가 사용하는 용어를 정의한다.

2011년 봄, 나는 이스라엘에 있었는데 고용주 회사의 본사로부터 급한 연락을 받아 특별한 프로젝트에 참여하게 됐다. 유럽에 위치한 거대 슈퍼마켓 체인(정보 보호를 위해 이름은 제공하지 않는다)을 위한 새로운 지불 시스템의 설계와 개발을 총괄하게 요청 받았다. 나는 개발보다는 보안과 PCI 준수에 관해 일을 해왔으나, 이미 앞서 여러 번의 프로젝트 실패를 경험한 그들에게 나의 지불 인터페이스 개발 10년의 경험은 프로젝트를 구할 희망을 주었다. 나에게는 상당한 개발 자원이 주어졌지만, 프로젝트를 위한 기간은 아주 짧았다. 동작하는 버전을 출시하기 위해서는 두 달이 남아 있었다. 게다가 최신 기술과 보안 표준을 이용한 설계를 해야 했다.

나에게 주어진 개발 팀은 최고의 프로그래머들로 구성됐지만, 곧바로 생각지도 못한 문제에 직면했다. 모두들 POS 개발 경력이 있었음에도 불구하고, 새로운 제품이었던 까닭에 그룹 내에서 지불 인터페이스에 관한 실마리를 가진 이가 없었다. 물론 보안과 PCI 준수에 관한 문제는 없었다.

처음 며칠과 몇 주는 전자 지불에 관한 일반적인 내용과 지불 애플리케이션 아키텍처의 자세한 내용, 그리고 이 분야의 보안 표준을 설명하는 데 할애했다. 모두들 신용카드가 무엇이고, 어떻게 사용하는지는 알고 있었지만, 단지 그뿐이었다. 새로운 실무 설계자와 프로그래머를 위한 가이드나 매뉴얼이 있었으면 했지만, 어떤 참고자료도 찾을 수가 없었다. 이 분야에 관한 나의 지식은 다년간의 다양한 지불 시스템과 관련된 일과 애플리케이션 보안에 관한 연구를 통해 축적됐다. 그때 바로 이 책을 기획해야겠다는 생각이 떠오른 것이다.

결국 지불 솔루션은 성공적으로 제때 출시됐고, 나의 일상적인 일을 계속하기 위해 미국으로 돌아왔다. 하지만 책에 관한 생각이 머릿속을 떠나지 않았다. 그 후로 그 생각은 업계의 최신 개발 경향을 반영하게 약간 변형됐다. 예를 들어 PCI 표준이 폭넓게 퍼지면서 공격 벡터는 데이터 저장소로부터 메모리로 이동되었다. 또한 새로 탄생한 P2PE 표준은 상점에 새로운 희망을 안겨줬고, 소프트웨어 개발자와 하드웨어 생산자에게는 큰 도전이 됐다. 하지만 근본적인 목표는 고스란히 남아 있었다. 개발자와 보안 전문가, 지불 시스템의 사용자, 그리고 의사결정권자들이 설계 원칙의 엄청난 혼합과 업계 표준, 소프트웨어 취약점, 공격 벡터, 그리고 함께 지불 애플리케이션을 안전하게 만드는 암호화 기술을 이해하게 돕는 지침서를 집필하는 것이었다.

슬라바 곰진(Slava Gomzin)

보안과 지불 관련 기술 전문가로, 휴렛패커드(HP, Hewlett-Packard)에서 근무하고 있으며, 최신 보안과 지불 관련 기술을 이용한 지불 처리 생태계와 통합된 제품 개발을 지원한다. HP에서 일하기 전에는 보안 아키텍트이자 기업 제품 보안 전문가, 그리고 연구개발과 애플리케이션 보안 관리자였으며, 엔씨알 리테일(NCR Retail)의 한 부문인 리테일익스(Retalix)의 개발 팀장이었다. PCI ISA로서 보안과 PA-DSS, PCI DSS, 그리고 PCI P2PE를 준수하는 POS 시스템과 지불 애플리케이션, 그리고 게이트웨이에 집중했다. 보안 분야로 옮기기 전에는 차세대 POS 시스템과 지불 게이트웨이와 처리자에 대한 다양한 인터페이스를 비롯한 새로운 제품의 설계와 구현의 연구개발에 힘썼다. 현재 CISSP, PCIP, ESCP, Security+ 인증을 보유하고 있으며, www.gomzin.com에 지불과 기술 보안에 관한 글을 기고하고 있다.

POS(Point of Sale)는 집 앞의 작은 가게에서부터 백화점의 계산대, 그리고 놀이공원까지 소비에 관한 한 현대인의 삶에서 쉽게 인식하지 못하지만 가장 많은 장소에서 접하게 되는 컴퓨터 시스템 중 하나일 것이다. 하지만 대부분의 사람들은 그것이 각 가정에 있는 PC와 인터넷에 사용되는 서버 시스템과 동일하다는 것을 알지 못할 수 있다. 특히 현대 사회에서 가장 민감한 정보인 개인의 금융 신용정보를 직접적으로 읽어 저장하고 인터넷을 통해 전송한다는 것을 말이다. 그것은 곧, 정보 유출을 위한 공격의 대상이 된다는 뜻이다. POS 시스템이라는 것이 이렇듯 아주 널리 존재하면서 쉽게 보안 공격의 대상이 될 수 있다는 사실이 인식되지 않듯이 POS 시스템을 대상으로 한 공격의 방어 역시 POS 시스템 제공자들에게도 필수적인 것으로 인식되지 않고 있는 것이 현실이다. 더욱이 자신의 소중한 카드 정보를 직접 제공하고 있는 개인들은 재화의 구매를 위해 제공한 자신의 정보가 철저히 보호되고 있는지 한 번도 POS 시스템을 의심해본 적은 없을 것이다.
이 책은 이와 같이 민감하고도 개인에게 위험한 금융 정보를 다루는 POS 시스템 전반에 관한 보안 위협과 완화 또는 차단 방법을 다루고 있다. 총 3개 부로 구성돼 있으며, 각 부의 주제를 모두 9개 장으로 나눠 단계적으로 설명한다. 1부에서는 전자 지불에 필요한 배경 기술을 설명하고, 2부에서는 개인 카드 정보가 POS를 통해 도난 당할 수 있는 이유와 어떻게 취약한지 설명한다. 마지막 3부에서는 이미 밝힌 기술적 문제점에 대해 검토한 뒤 어떻게 공격으로부터 방어할 수 있는지 설명하는 것으로 끝맺는다. 또한 책 전반에 걸쳐 PCI라는 보안 표준을 해부하고, 표준으로서 갖추지 못한 보안의 허점들을 파헤침으로써 민감한 카드 정보 보호를 위해 PCI 보안 표준이 완전하지 않은 이유를 설명함과 동시에 그것을 보완할 방법을 소개해 안전한 POS 시스템을 만들 수 있는 방법을 모색한다.
이 책을 통해 이와 같은 주제들을 깊이 인식해 POS 시스템 판매회사에서부터 개발자까지 지금까지 간과된 보안 위협으로부터 좀 더 안전한 POS 시스템이 개발되고 구축될 수 있게 함으로써 소비들이 아무런 걱정 없이, 지금과 같이 보안에 관해 전혀 인식할 필요 없이 민감한 카드 정보를 제공할 수 있는 환경이 될 수 있기를 희망한다.

배영부

영상 보안 제품을 시작으로 리눅스 커널 기반 L4-7과 웹 방화벽, 보안 스위치 같은 네트워크 보안 제품과 SIEM 등 다양한 보안 관련 제품 개발에 참여했으며, 현재 삼성SDS에서 차세대 관제 솔루션 개발에 참여 중이다. 대부분의 개인적인 시간은 기술 서적 번역에 할애하고 있으며, 로드바이크 라이딩이 취미다. 그 외에도 좀 더 의미 있는 인생을 살고자 다양한 것을 시도하고 있다. 에이콘출판사에서 출간한 『소프트웨어 보안 평가 The Art of Software Security Assessment』(2013)와 『실전 리눅스 악성코드 포렌식』(2015)를 공역했다.