미국 일간지 뉴욕타임스(NYT)는 7일 매사추세츠 주 소재의 소규모 모바일 결제업체인 루프페이가 수개월 전부터 중국 정부에 가입된 해커 그룹으로부터 정교한 공격 대상으로 지목됐다고 보도했다.
루프페이는 올 3월 해커에 의해 내부 네트워크가 손상된 것으로 나타났다. 해커로 지목된 그룹은 ‘코도소’ 또는 ‘선쇼크’ 크룹으로 추정되며, 임원들은 이들이 삼성페이의 핵심 기술인 ‘MST’를 공격한 것으로 분석했다.
MST는 스마트폰을 이용한 결제를 마그네틱선 카드 단말기로도 가능하도록 도와주는 기술로, IC칩 카드 단말기 보급이 초기 단계인 미국에서 주목받아 왔다.
해커 공격으로 네트워크는 손상됐지만, 결제를 관리하는 생산 시스템은 온전했다. 삼성 시스템과 소비자 데이터도 안전한 상태. 보안 전문가들은 루프페이 시스템의 정상작동 여부를 계속 조사하고 있는 것으로 알려졌다.
루프페이 최고경영자이자 삼성페이 공동 총지배인 윌 그레일린(Will Graylin)은 “해커들이 회사 네트워크에 침입했으나 결제 관리를 돕는 생산 시스템에는 침입하지 못한 것으로 보인다”고 밝혔다.
루프페이는 올 8월에야 해킹 사실을 알았다. 별도 조사에서 코도소 그룹의 행적을 추적하는 기관이 루프페이 데이터를 발견하고 회사에 통보해준 덕이다. 루프페이와 삼성 임원들은 감염된 네트워크 장비들을 제거했다.
루프페이 측은 해킹사건이 삼성페이의 시장 출범을 늦추진 못했다고 밝혔다. 삼성의 정보보호책임자 달린 세드리스(Darlene Cedres)는 성명을 통해 “삼성페이는 영향이 없었고 개인결제 정보는 위험에 처한 적이 없다”며 “루프페이 네트워크를 겨냥한 독립적인 침입이며, 이는 물리적으로 분리된 네트워크였다”고 설명했다.
외신들은 삼성페이에 치명적인 위협이 되지 않았지만, 시기적으로 부정적인 뉴스라고 분석했다. 활용성과 편의성에 집중된 모바일 결제 시스템에 대한 보안 정책이 완벽하지 않은 상태라는 의견이 뒤를 따랐다.
NYT는 코도소 해커들을 추적한 보안전문가의 말을 인용해 “8월 이후 드러난 이후 해커들이 무엇을 했는지 단언하기에는 이르다”고 지적했다. 5개월간 루프페이 네트워크 내부에서 숨겨진 통로를 확보해 놨거나, 파악하지 못한 데이터를 유출했을 가능성이 있다는 의미다.
이어 NYT는 해킹 추적 비영리 기구 포니먼 인스티튜드 자료를 인용해 “해커들의 공격을 완전히 해결하는 데는 평균 46일이 소요되며, 루프페이처럼 중국식 해킹은 해결에 더 많은 시간이 소요된다”고 분석했다.
한편 루프페이는 8월 21일 사설 업체 두 곳을 고용해 조사를 진행했으나 법집행 당국에는 이를 통보하지 않았다고 밝혔다. 그레일린은 “고객 데이터나 금융정보가 유출되지 않았다는 판단에 법집행 당국에 알릴 필요가 없었다”고 말했다.
andy@heraldcorp.com
