절도범들, 토론토 사업체들의 POS 단말기 노려

더 비치(The Beaches)에 있는 한 가족 경영 사업체는 한 고객이 POS 기계를 사용하여 2,000달러를 환불받았다고 말합니다.

지난 몇 주 동안, 토론토 퀸 스트리트 이스트의 여러 사업체에서 수천 달러가 도둑맞는 사건이 발생했습니다. 범인들은 사업체들이 고객 결제를 위해 사용하는 POS 단말기를 이용해 돈을 빼돌리고 있습니다.

가족이 운영하는 음식점인 더 비치스(The Beaches)의 수블라키 헛(Souvlaki Hut)에서는 한 남성이 아무렇지 않게 POS 단말기를 집어 들어 본인에게 2,000달러의 환불을 처리하는 장면이 보안 카메라에 포착됐습니다. “정말 충격이었어요.” 수블라키 헛 운영자의 아들 아르티 요르가기(Artie Jorgaqi)는 말했습니다. “솔직히, 어머니가 여기서 정말 열심히 일하시는데, 그렇게 돈을 빼앗겼다는 걸 듣고 너무 놀랐습니다.” 그는 “그 사람이 단말기를 집어 들어 우리가 보지 못하게 했고, 수동으로 환불을 처리했어요. 너무 쉬운 일이었죠. 이런 일은 많은 소상공인들이 취약할 수밖에 없는 부분입니다.”라고 덧붙였습니다.

또 다른 사례로, 피핀스 티 컴퍼니(Pippins Tea Company)에서는 며칠 전 한 젊은 남성이 가게에 들어와 할머니를 위한 찻주전자를 사겠다며 POS 단말기를 이용해 본인에게 4,900달러를 환불한 사건이 있었습니다. “정말 기가 막혔죠,” 가게 주인 바버라 디앤젤리스(Barbara Deangelis)는 말했습니다. “작고 독립적인 소매점에게는 정말 큰돈이에요.” 이들 사업체는 POS 단말기의 예상치 못한 취약점을 지적하고 있으며, 보안 전문가들 역시 이 취약점은 “심각하다”고 경고합니다.

“대부분의 POS 단말기는 처음부터 잘못 설정되어 있습니다,” 보안 전문가 클라우디우 포파(Claudiu Popa)는 말했습니다. 그는 도둑들이 기본 설정된 암호나 허술한 보안 설정을 이용해 단말기를 조작한다고 설명했습니다.

“이 사기는, 마치 잠금 상태의 아이폰을 두고 갔는데 누군가가 모바일 결제 시스템에 접근해 유료 앱들을 마구 다운받은 것과 비슷한 수준입니다,”라고 그는 덧붙였습니다.

경찰은 두 사건이 연관되어 있다고 보지는 않지만, 토론토의 또 다른 지역에서 발생하고 있는 연쇄 절도 사건과 유사하다고 보고 있습니다. 이 문제는 토론토 부시장 마이크 콜(Mike Colle)이 작년에 문제 해결을 위한 회의까지 열 정도로 우려를 자아내고 있습니다.

“배서스트 스트리트, 더퍼린, 에글링턴, 애비뉴 로드, 로렌스, 세인트 클레어의 거의 모든 사업체가 피해를 입었고, 서로 이야기도 안 했어요,” 콜 부시장은 말했습니다. 그는 일일이 사업체를 방문해 상황을 설명하고, POS 단말기가 잠겨 있다는 안내 스티커를 창문에 붙이기도 했습니다.

“기본적으로, POS 단말기는 밤에는 잠가두고, 자리에 없을 때는 카운터 위에 두지 말고 아래에 보관하세요. 고객이 왔을 때만 꺼내세요. 그리고 매주 비밀번호를 바꾸세요,”라고 조언했습니다.

더 비치 지역 상공회(BIA)도 이메일을 통해 POS 단말기 취약성에 대해 회원들에게 경고했습니다. 비치 BIA의 매니저 로리 반 소엘렌(Lori Van Soelen)은 이런 방식의 절도는 처음이라고 말하면서, 도둑들이 새로운 지역을 타깃으로 삼아 새로운 수법을 시도하고 있다고 봤습니다.

“이건 새로운 수준이에요,” 그녀는 말했습니다. “자신의 단말기가 어떤 일을 허용하고, 어떤 건 못 하게 할 수 있는지 꼭 인지하고 있어야 합니다.”

피핀스 티 컴퍼니의 경우, POS 단말기 공급업체 모네리스(Moneris)가 환불을 해주었고, 디앤젤리스는 적절한 대응을 받았다고 말했습니다.

모네리스 측은 CTV 뉴스에 보낸 이메일에서 자사 단말기는 기본적으로 ‘무단 환불’ 코드가 설정되어 있지 않다고 밝혔습니다. “가맹점이 단말기를 설치할 때 관리자 비밀번호를 설정하라는 안내를 받으며, 환불 등 민감한 기능에 대해서는 사용자 권한과 프로필도 설정하는 것이 권장됩니다. 또 단말기는 현금처럼 취급되어야 하며, 사용하지 않을 때는 잠가 두고 보관하는 것을 권장합니다,” 라고 대변인 대런 르루(Darren Leroux)는 전했습니다.

반면, 수블라키 헛(Souvlaki Hut)의 POS 공급업체인 클로버(Clover)는 보도 마감 시점까지 답변을 주지 않았습니다. 아들 요르가기는 2,000달러 손실은 매우 컸으며, 기기에 제한 설정을 걸 수 있었다는 것을 알았더라면 그렇게 했을 것이라고 말했습니다. 그는 단말기 공급업체가 처음부터 기기를 더 안전하게 만들 책임도 있다고 주장했습니다.

“단말기를 사용하는 모든 사람들을 보호할 수 있는 조치를 공급업체에서 해줘야 한다고 생각해요. 예를 들어 환불 금액에 제한을 두거나, 이중 인증 절차를 도입하는 것도 방법일 겁니다,”라고 그는 말했습니다.