마이크로소프트(MS)가 지원을 중단한 구형 운영체제(OS) 윈도XP를 사용하는 결제단말기가 악성코드에 감염돼 먹통이 되는 사태가 발생했다. 신용카드 정보 등 민감한 개인 정보가 유출됐을 가능성이 있지만 당국은 피해 규모조차 제대로 파악하지 못하고 있다.

한국인터넷진흥원(KISA)은 국내 판매시점관리(POS) 결제단말기 업체 22곳으로부터 사이버 침해사고 신고를 접수했다고 9일 발표했다.

악성코드 공격으로 단말기의 인터넷 접속이 끊기고 결제 오류가 발생하는 피해를 봤다. 정확한 피해 규모를 알 수 없으나 업계는 단말기 수만 대가 해킹됐을 것으로 추정하고 있다. 해킹 피해 신고는 지난 1일 처음 접수됐으며 KISA는 악성코드 4종을 채증하고 관련 접속 경로를 차단했다고 밝혔다.

보안업계에서는 개인 정보가 해커에게 유출됐을 가능성이 높다고 보고 있다. KISA가 감염된 POS 기기를 조사한 결과 악성코드에서 원격제어 기능이 발견됐다. 원격제어는 해커가 감염된 컴퓨터를 ‘좀비’처럼 마음대로 조종할 수 있는 기능이다. 보안업계 관계자는 “겉으로는 접속 장애를 일으키는 것으로 꾸미고 몰래 개인정보를 빼내는 전략일 수 있다”고 말했다.

전문가들은 결제 단말기 상당수에서 해킹에 취약한 윈도XP를 사용해온 것을 문제로 지적했다. 국내 POS 기기 중 상당수는 2014년 보안 지원이 종료된 윈도XP를 쓰고 있다. 계약을 맺은 일부 업체에 한해 보안이 지원되고 있지만 이마저 내년에 종료된다.

사태가 확산되고 있지만 관련 기관들은 1주일이 넘도록 피해 규모를 파악하지 못하고 있다. 금융감독원이 피해 조사에 나섰지만 윈도XP를 사용 중인 POS 기기 규모조차 밝히지 못하고 있다. 이 과정에서 통신업체, 카드사, 결제대행 밴(VAN)사 간 책임 소재 공방까지 벌어지고 있다.

배태웅/정지은 기자 btu104@hankyung.com