보안뉴스 김경애·문가용 기자] 국내 POS 단말기가 악성코드에 감염되는 사건이 발생해 금융정보 탈취에 빨간불이 들어왔다. 21일 본지가 입수한 정보에 따르면 POS 단말기에 사용되는 프로그램 메모리에서 복사된 정보가 전자지불 시스템으로 정보가 전달되는 과정에서 해커가 중간에 정보를 들여다 볼 수 있는 것으로 알려졌다. 특히, 이번 공격은 특정 보안업체 프로그램과 POS 단말기 운영체제, 전자지불 시스템 등을 포함한 대규모 공격으로 기획한 맞춤형 공격 가능성이 농후해 더욱 관심이 모아지고 있다.


POS 단말기는 대규모 사이버 공격으로 확산될 수 있고, 이용자들의 금전적 피해까지 발생할 수 있는 만큼 보안전문가들 사이에서도 우려의 목소리가 크다. 더군다나 POS 단말기가 인터넷과 연결되면서 악성코드 감염에 노출돼 있어 대규모 해킹 위험이 커졌다는 지적이다.

보안업계에 따르면 POS 단말기 감염 악성코드가 속속 발견되는 상황이다. 한 보안업체는 지난 13일 해당 악성코드를 발견했으며, 악성코드는 지난 7일 제작된 것으로 분석했다. 현재 해당 보안 이슈는 11월말에서 12월초경 발생했으며, POS 단말기가 정보탈취 유형의 악성코드에 감염돼 현재 경찰과 금융보안원이 조사 중인 것으로 알려졌다. 자칫하면 대형 보안사고로 이어질 수 있는 사건이다 보니 보안업계와 수사기관에서도 촉각을 곤두세우고 있다. 현재 지불결제 시스템 및 서비스를 운영하는 곳의 조사가 진행됐으며, POS 단말기 악성코드가 감염된 POS 단말기에 대한 세부조사가 이뤄질 예정이다.

익명을 요청한 한 보안전문가는 “해커 입장에서는 POS 단말기뿐만 아니라 관련 프로그램, 내부 시스템 등에 대한 면밀히 분석을 거쳐 만든 맞춤형 악성코드를 대량으로 뿌렸을 것”이라며 “해커는 빼낸 금융정보를 특정 해외서버로 보내고 해당 정보를 복제해 마그네틱 카드가 통용되는 동남아 등 제3국가에서 사용할 가능성이 있다”고 예상했다.

특히, 특정 보안업체의 경우 대규모 사이버 공격에 연루된 바 있는데, 이번 POS 단말기 해킹과도 관련성이 보여 면밀히 조사해 봐야 한다는 것. 또한, 특정 보안업체 프로그램, 지불결제 시스템, POS 단말기 등 악성코드 유입 경로가 다양한 만큼 여러 가능성을 두고 각 부문별 취약점에 대해서도 면밀히 조사해야 한다는 얘기다.

이번 POS 단말기 악성코드 감염 사건은 다행히 현재까지 실제 피해사례나 대규모 피해로 이어졌다는 소식은 들리지 않고 있다. 이는 해커가 금융정보를 탈취한 후, 현금을 인출하기까지 어느 정도 시간이 필요한데, 그 전에 발견됐기 때문으로 추정할 수 있다.

이러한 가운데 얼마 전 보안 업체 프루프포인트(Proofpoint)가 북한 정부와 연관성이 있는 것으로 의심되는 라자루스(Lazarus) 그룹에 대한 경고를 발표했다. 경고의 핵심은 “북한 정부가 금전적인 이유로 사이버 공격을 실시하고 있다”는 것이다.

“북한 정부는 현재 세계적인 경제 제재를 받아 정상적인 경제 활동을 하기 힘든 상태입니다. 그래서 암호화폐 거래소나 은행들을 공격해 큰 돈을 탈취해 갔으며, 최근에는 대한민국의 POS 단말기를 노리는 공격도 감행하고 있습니다.”

라자루스가 대한민국의 POS 단말기를 노릴 때 사용하는 멀웨어를 프루프포인트는 라탕크바POS(RAtankbaPOS)라고 언급했다. 또한 “국가 후원을 받는 사이버 공격 단체가 POS를 노리고 공격한 첫 번째 사례”라고 밝혔다. “보통 국가가 진행하는 사이버 공격이 민간 업체들의 POS를 겨냥하지는 않습니다.”

아직 프루프포인트는 라탕크바POS 멀웨어가 어떤 식으로 배포되고 있는지 파악하지는 못했다고 밝혔다. 하지만 라자루스가 비트코인과 관련된 조직이나 개인을 공격하기 위해 사용하고 있는 멀웨어인 파워라탕크바(PowerRatankba)를 통해 추가로 페이로드를 드롭하는 것으로 보인다고 추측했다. 이렇게 추측하는 이유는 파워라탕크바와 관련이 있는 명령제어(C&C) 서버에서 라탕크바POS가 발견됐기 때문이다.

라탕크바POS는 국내 특정 결제 솔루션 업체인 K사와 관련된 POS 프레임워크 시스템에서 통용되는, 암호화 및 복호화 된 신용카드 정보를 다루는 것으로 분석됐다.

프루프포인트 측은 “라탕크바POS가 암호화된 형태의 항적 자료(track data)를 노리는 것으로 보인다”며 “이는 곧 공격자들이 한국의 보안 업체인 S사의 POS 관련 소프트웨어 애플리케이션, 프레임워크, 기기를 노린다는 뜻으로 해석될 수 있다”고 설명했다. 이는 라자루스가 마음먹고 대한민국의 POS 기기들을 노리는 것으로 해석이 가능하다.

이는 연말연시의 이른바 ‘쇼핑 시즌’이 겹치기 때문에 대단히 큰 사태로 발전할 수 있는 위협거리다. 프루프포인트 측은 “북한이 대한민국의 POS 생태계를 매우 잘 이해하고 있는 것으로 보인다”며 “금융 기관이 아니라 POS도 복합적으로 노리는 ‘국가 후원 해킹 그룹’의 탄생은 처음”이라고 설명했다.

이 보고서는 이 주소(https://www.proofpoint.com/sites/default/files/pfpt-us-wp-north-korea-bitten-by-bitcoin-bug.pdf)를 통해 다운로드 받을 수 있다. 보고서의 상당 부분은 라자루스의 암호화폐 탈취 시도에 관한 내용을 다루고 있는데, 이는 이 기사(http://www.boannews.com/media/view.asp?idx=58746&skind=O)를 통해 정리됐다.

보안업체 하우리의 김정수 센터장은 “POS 단말기의 경우 통합관리 시스템으로 되어 있기 때문에 각별히 주의해야 한다”며 “단말기 서버를 해킹해 각 지점 POS에 악성코드를 전사적으로 뿌리고 사용자들 카드결제 정보를 탈취할 가능성이 있어 연말연시에는 특히 더 보안에 신경써야 한다”고 당부했다.

인터넷피해구제협회 김근주 회장은 “어떤 POS 단말기의 경우 운영체제로 윈도우 XP 등을 사용하는 곳도 적지 않아 보안 프로그램 설치가 잘 안 되는 등 취약한 기기가 부지기수”라며 “상점과 커피숍, 쇼핑몰 매장 직원들이 인터넷을 POS 단말기와 연결해 놓고 사용하다 보니 해커 입장에서는 POS 탈취만 잘 해도 서버에 직접적으로 연결돼 타깃이 될 수 있다”고 우려했다. 이에 POS 단말기를 직접 사용하는 직원들의 보안인식 강화도 중요하다고 덧붙였다.
[김경애 기자(boan3@boannews.com)]
[문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>