최근 자주 발견되는 POS 멀웨어 제대로 알기

2015-12-06 23:45
  • 카카오톡
  • 네이버 블로그
  • url
민감하고 중요한 정보 담긴 POS 시스템, 그리고 이를 노리는 멀웨어


[보안뉴스 민세아] 체리피커(Cherry Picker), 모드포스(ModPOS), 블랙포스(BlackPOS), 백오프(BackOff), 프레임워크포스(FrameworkPOS), 아바돈(Abaddon), 멀럼포스(MalaumPOS) 등. 이름만 들어도 POS와 관련이 있을 법한 이들의 공통점은 무엇일까?

이들은 모두 POS 멀웨어(Malware). POS 멀웨어는 말 그대로 POS 시스템을 노리는 악성코드를 의미한다. POS 멀웨어는 지난 2005년 등장해 카드사용자들을 괴롭혀 왔지만 본격적으로 이슈가 된 것은 2013년, 2014년 억 단위의 카드 정보가 유출되면서부터다.

이중 가장 최근에 유명세를 탄 모드포스에 대해 먼저 알아보자. 지난 11월 사이버 위협 감지기업인 아이사이트 파트너스(iSight Partners)에 의해 포착된 이 멀웨어는 이제껏 발견되어 왔던 POS 멀웨어 중 가장 교묘하고 찾아내기 힘든 멀웨어로 알려졌다.

모드포스는 모듈 식으로, POS 카드 스크랩퍼 기능, 키로거(Keylogger), 업로더·다운로더, 기밀문서 스크레이핑, 로컬 시스템 및 네트워크에 있는 정보 수집 등 다양한 기능을 가진 모듈이 모두 포함되어 있다.

아이사이트 연구원들은 모드포스 공격이 적어도 2013년 이전부터 시작되어 왔으며, 이미 미국 내 수백 개의 소매업체들의 고객 신용카드 정보를 탈취했다고 말한다. 모드포스는 작은 규모의 업체만 공격한다는 특징을 가지고 있다.

모드포스보다 더욱 강력한 POS 멀웨어도 있다. 4년 동안 숨어 있다가 지난 11월 보안전문 기업 트러스트웨이브에 덜미를 잡힌 ‘체리피커(Cherry Picker)’는 2011년부터 활동해온 것으로 알려졌다.

체리피커는 목적에 따라 다양한 모습으로 설정하는 게 가능하다. POS 시스템의 메모리로부터 데이터를 훔치는 방법도 남다르다. 트러스트웨이브에 의하면 체리피커는 메모리를 분석해 카드의 정보를 탈취한 후, 자체 탑재된 클리너(Cleaner) 프로그램으로 자신의 흔적을 지운다. 이 때문에 4년이라는 긴 시간동안 들키지 않고 숨어 있는게 가능했던 것이다.

6월에 발견된 또다른 POS 멀웨어, 멀럼포스(MalaumPOS)는 마이크로(Micros)라는 POS 및 기업 정보 관리 소프트웨어 기업의 POS 시스템을 노린다. 겉으로 보기에는 NVIDIA Display Driver라는 정상적인 프로그램으로 위장한다.

일단 시스템을 감염시킨 후에는 메모리를 스캔해 비자, 아메리칸 엑스프레스, 디스커버, 마스터카드, 다이너스 클럽 등의 신용카드 정보를 빼돌린다. 한 번에 100개의 프로세스를 감시할 수 있고, 여러 다른 POS시스템을 감염시킬 수 있는 높은 ‘호환성’ 이 강점이다.

또한, 블랙포스(BlackPOS)는 지난 2013년 발생한 미국 최대 개인정보 유출사건 중 하나인 ‘타깃(Target)’ 사건에 사용됐고, 백오프(BackOff)는 글로벌 택배서비스 기업인 UPS 유출사건에 쓰였다.

블랙포스의 경우 특정 타깃을 목표로 하는 공격을 위해 제작됐다. 지속적인 공격, 메모리 스캔, 데이터 유출과 같은 공격이 가능하다. 백오프는 불특정 다수를 대상으로 하는 공격이다. 과거에는 자바의 한 요소인 것처럼 위장해서 시스템을 감염시켰으나 현재는 미디어 플레이어인 것처럼 위장하는 것으로 알려졌다.

카드 정보 스니핑, RAM 스크랩, 추가 멀웨어를 다운로드해 사용자에게 2, 3차 피해를 입히는 펑키(Punkey), 감시망을 교묘하게 피해가도록 하는 폰포스(PwnPOS), 윈도우 메일슬롯을 활용해 훔친 신용카드 정보를 전달하는 로그포스(LogPOS), 카지노, 리조트, 호텔 등을 노리는 로우포스(RawPOS) 멀웨어 등 수많은 POS 멀웨어가 존재한다.

HPE 시큐리티의 마크 바우어(Mark Bower)는 “POS는 굉장히 민감하고 중요한 정보들을 가지고 있을 뿐 아니라 사용자들의 업데이트나 패치 역시 굉장히 드물게 일어나는 곳”이라고 전했다.

POS 멀웨어에 대해 지속적으로 소개한 본지 국제부 문가용 기자는 “POS 멀웨어가 중요한 이유는 금융처리 시스템의 엔드포인트 중 가장 빈번하고 오랫동안 노출되고 있기 때문”이라며, “보안을 모르는 일반 사용자들이 무방비로 노출되어 있다는 게 가장 적나라하게 드러난 사례”라고 설명했다.
[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

연관 뉴스

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


katie 2015.12.07 00:28

보안을 아는 사용자들도 무방비로 노출되어 있는 거 아닌가용 그런가용 틀린가용 적나라한가용


과월호 eBook List 정기구독 신청하기

    • 다후아테크놀로지코리아

    • 인콘

    • 엔텍디바이스코리아

    • 핀텔

    • KCL

    • 아이디스

    • 씨프로

    • 웹게이트

    • 지오멕스소프트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비전정보통신

    • 원우이엔지

    • 지인테크

    • 아이원코리아

    • 이화트론

    • 다누시스

    • 테크스피어

    • 아이리스아이디

    • 슈프리마

    • 인텔리빅스

    • 시큐인포

    • 미래정보기술(주)

    • 트루엔

    • 인터엠

    • 경인씨엔에스

    • 한국씨텍

    • 성현시스템

    • 프로브디지털

    • 투윈스컴

    • 스피어AX

    • 다후아테크놀로지코리아

    • 한결피아이에프

    • 세연테크

    • 디비시스

    • 주식회사 에스카

    • 구네보코리아주식회사

    • 위트콘

    • 넥스트림

    • 포엠아이텍

    • 동양유니텍

    • 엔피코어

    • 휴네시온

    • 한싹

    • 앤앤에스피

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에이티앤넷

    • 유투에스알

    • 에이앤티코리아

    • 네티마시스템

    • 태정이엔지

    • (주)일산정밀

    • 넥스텝

    • 모스타

    • 두레옵트로닉스

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 에이앤티글로벌

    • 엘림광통신

    • 메트로게이트
      시큐리티 게이트

    • 엔에스티정보통신

    • 레이어스

    • 보문테크닉스

    • 포커스에이치앤에스

    • 엔시드

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기