미국 내 EBT(전자급여이체) 카드를 대상으로 한 사이버 범죄가 급증하면서, 법 집행기관의 실시간 탐지 대응 기술이 절실히 요구되고 있다. 특히 마그네틱 스트라이프 기반 카드가 여전히 45개 주에서 사용되는 가운데, 이 기술은 암호화되지 않은 트랙 2 데이터를 저장하고 있어 스키밍 사기에 매우 취약하다. 

스키밍 사기는 불법 장치(Skimmer)를 이용해 신용카드나 직불카드 정보를 몰래 복제한 뒤, 이를 통해 무단 결제나 현금 인출을 하는 범죄다. ATM, 무인결제기 등에 주로 설치되며, 피해자는 인지하기 어렵다.

미국 비밀경호국은 2025년 한 해 동안 5개 주에서의 작전을 통해 범죄 장비 수십 개를 제거하고 약 2억 달러의 사기를 예방했다. 이러한 상황에서 각 주 및 연방 정부는 스키머 탐지 기술을 현장에 적용하는 방안을 적극적으로 추진하고 있다.

사이버 범죄 대응 솔루션 기업 버클리 바리트로닉스 시스템즈(Berkeley Varitronics Systems, 이하 BVS)가 법 집행 기관을 위한 ‘EBT 스커머 감지 콤보 키트’를 출시했다고 밝혔다.

이 키트는 EBT 및 SNAP 카드 기반 사기를 사전에 탐지·차단하기 위한 현장 대응형 도구로, 다양한 유형의 스키밍 기기에 대한 탐지 기능을 포함하고 있다. BVS의 콤보 키트는 스키머 장비를 물리적으로 분해하지 않고도 빠르고 안정적인 탐지를 가능하게 하며, 실시간 대응이 필요한 경찰 및 비밀경호국 요원들에게 현장에서 즉시 사용 가능한 수단을 제공한다.

스킴 스캔과 스킴 스와이프 기반의 실시간 탐지 장비 구성

EBT 콤보 키트에는 내부형 ATM 및 주유소 스키머 탐지를 위한 ‘스킴 스캔(Skim Scan)’과 POS 단말기용 ‘스킴 스와이프(Skim Swipe)’가 포함되어 있다. 스킴 스캔은 딥 인서트 방식의 스키머를 신속하게 식별할 수 있으며, 스킴 스와이프는 SNAP 인증 소매점의 POS 기기에서 발생하는 스키밍 위협에 대응하기 위해 설계된 휴대형 탐지기다.

이 외에도 장비 보관용 견고한 운반 케이스, 보호 파우치, 검사 중 휴대를 위한 전용 홀스터도 함께 제공된다. 멤피스 현장 단속에서는 약 2200대의 POS 단말기와 234대의 ATM을 점검해 스키머 4대를 탐지 및 제거한 사례가 보고되었다.

EBT 사기 범죄자들은 카드 위에 덧씌우는 POS 오버레이 스키머, ATM 슬롯 내부에 설치하는 딥 인서트 스키머, EMV 칩 기반 단말기에 사용하는 쉬머 등 다양한 스키밍 장치를 사용한다. 이 장치들은 카드의 자석 데이터를 복제하거나 PIN 정보를 탈취해, 복제 카드로 SNAP 계좌의 자금을 도용한다. 미국 전역에서 스키머 탐지는 지역, 주, 연방 법 집행기관이 범죄를 조기에 식별하고 피해 확산을 막기 위한 주요 수단으로 채택되고 있다.

카드 보안 기술 현대화의 필요성과 대응 전략

현재 캘리포니아, 뉴저지, 앨라배마 등 일부 주에서는 칩 기반 EBT 카드를 도입하고 있으나, 대부분의 주는 여전히 마그네틱 카드를 사용하고 있다. 미국 농무부 식품영양국(USDA)은 카드 데이터 암호화와 칩 앤 탭 기술 도입을 각 주에 권고하고 있으나, 전면적인 전환은 지연되고 있다. 이에 따라 수백만 명의 EBT 수혜자가 사이버 위협에 노출되어 있으며, 기술적 대응과 법적 보완이 병행되어야 하는 상황이다.

BVS의 사장 겸 최고경영자 스콧 쇼버(Scott Schober)는 “전국적인 카드 현대화가 완료되기 전까지 스키머 탐지는 법 집행기관의 최전선 대응 수단으로 남을 것”이라고 말했다. 그는 “EBT 콤보 키트는 기관들이 가장 취약한 시민을 대상으로 한 범죄를 실시간으로 탐지하고 효과적으로 차단할 수 있도록 돕는 전술적 도구”라고 강조했다. 버클리 바리트로닉스 시스템즈는 해당 키트를 통해 각 주 정부 및 연방 수사기관의 대응 역량을 강화하고, 미국 내 스키밍 피해 확산을 저지하는 데 기여하고 있다.

한편 국내에서도 교통카드, 일부 금융 마그네틱 카드, 무인 결제 단말기 등에서 스키머 공격에 노출될 수 있는 환경이 존재한다. 특히 무인 주유소, ATM, 키오스크를 이용할 때 카드 리더기 주변에 부착된 의심스러운 장치에 주의가 필요하다.

미국 사례처럼 장비 해체 없이 탐지할 수 있는 기술 도입과 함께, 칩 기반 카드 전환, 카드 데이터 암호화, 사용자 인식 강화가 병행되어야 한다. 국내 법 집행기관과 금융기관도 스키머 대응 기술 확보와 함께, 카드 기술 현대화를 지속적으로 추진해야 한다.

[알림] GTT KOREA GTT SHOW는 오는 8월 12일 오후 2시부터 3시까지 “피해 큰 BPF Door 같은 커널 기반 악성코드 막는 EDR과 마이크로세그멘테이션 실전 보안 전략”을 주제로 웨비나를 진행합니다. BPF Door 같은 커널 기반의 악성코드가 사용하는 공격 기법과 침투 단계별 위협의 소개, EDR과 마이크로세그멘테이션이 어떻게 상호보완적으로 작동하여 침입 초기 탐지부터 내부 확산 차단까지 이어지는 보안 체계의 구축 전략과 새로운 형태의 변종 공격에 유연하게 대응하는 제로 트러스트 기반 보안 전략을 실전 사례와 함께 제시합니다.