[보안뉴스 민세아] 체리피커(Cherry Picker), 모드포스(ModPOS), 블랙포스(BlackPOS), 백오프(BackOff), 프레임워크포스(FrameworkPOS), 아바돈(Abaddon), 멀럼포스(MalaumPOS) 등. 이름만 들어도 POS와 관련이 있을 법한 이들의 공통점은 무엇일까?
이들은 모두 POS 멀웨어(Malware). POS 멀웨어는 말 그대로 POS 시스템을 노리는 악성코드를 의미한다. POS 멀웨어는 지난 2005년 등장해 카드사용자들을 괴롭혀 왔지만 본격적으로 이슈가 된 것은 2013년, 2014년 억 단위의 카드 정보가 유출되면서부터다.
이중 가장 최근에 유명세를 탄 모드포스에 대해 먼저 알아보자. 지난 11월 사이버 위협 감지기업인 아이사이트 파트너스(iSight Partners)에 의해 포착된 이 멀웨어는 이제껏 발견되어 왔던 POS 멀웨어 중 가장 교묘하고 찾아내기 힘든 멀웨어로 알려졌다.
모드포스는 모듈 식으로, POS 카드 스크랩퍼 기능, 키로거(Keylogger), 업로더·다운로더, 기밀문서 스크레이핑, 로컬 시스템 및 네트워크에 있는 정보 수집 등 다양한 기능을 가진 모듈이 모두 포함되어 있다.
아이사이트 연구원들은 모드포스 공격이 적어도 2013년 이전부터 시작되어 왔으며, 이미 미국 내 수백 개의 소매업체들의 고객 신용카드 정보를 탈취했다고 말한다. 모드포스는 작은 규모의 업체만 공격한다는 특징을 가지고 있다.
모드포스보다 더욱 강력한 POS 멀웨어도 있다. 4년 동안 숨어 있다가 지난 11월 보안전문 기업 트러스트웨이브에 덜미를 잡힌 ‘체리피커(Cherry Picker)’는 2011년부터 활동해온 것으로 알려졌다.
체리피커는 목적에 따라 다양한 모습으로 설정하는 게 가능하다. POS 시스템의 메모리로부터 데이터를 훔치는 방법도 남다르다. 트러스트웨이브에 의하면 체리피커는 메모리를 분석해 카드의 정보를 탈취한 후, 자체 탑재된 클리너(Cleaner) 프로그램으로 자신의 흔적을 지운다. 이 때문에 4년이라는 긴 시간동안 들키지 않고 숨어 있는게 가능했던 것이다.
6월에 발견된 또다른 POS 멀웨어, 멀럼포스(MalaumPOS)는 마이크로(Micros)라는 POS 및 기업 정보 관리 소프트웨어 기업의 POS 시스템을 노린다. 겉으로 보기에는 NVIDIA Display Driver라는 정상적인 프로그램으로 위장한다.
일단 시스템을 감염시킨 후에는 메모리를 스캔해 비자, 아메리칸 엑스프레스, 디스커버, 마스터카드, 다이너스 클럽 등의 신용카드 정보를 빼돌린다. 한 번에 100개의 프로세스를 감시할 수 있고, 여러 다른 POS시스템을 감염시킬 수 있는 높은 ‘호환성’ 이 강점이다.
또한, 블랙포스(BlackPOS)는 지난 2013년 발생한 미국 최대 개인정보 유출사건 중 하나인 ‘타깃(Target)’ 사건에 사용됐고, 백오프(BackOff)는 글로벌 택배서비스 기업인 UPS 유출사건에 쓰였다.
블랙포스의 경우 특정 타깃을 목표로 하는 공격을 위해 제작됐다. 지속적인 공격, 메모리 스캔, 데이터 유출과 같은 공격이 가능하다. 백오프는 불특정 다수를 대상으로 하는 공격이다. 과거에는 자바의 한 요소인 것처럼 위장해서 시스템을 감염시켰으나 현재는 미디어 플레이어인 것처럼 위장하는 것으로 알려졌다.
카드 정보 스니핑, RAM 스크랩, 추가 멀웨어를 다운로드해 사용자에게 2, 3차 피해를 입히는 펑키(Punkey), 감시망을 교묘하게 피해가도록 하는 폰포스(PwnPOS), 윈도우 메일슬롯을 활용해 훔친 신용카드 정보를 전달하는 로그포스(LogPOS), 카지노, 리조트, 호텔 등을 노리는 로우포스(RawPOS) 멀웨어 등 수많은 POS 멀웨어가 존재한다.
HPE 시큐리티의 마크 바우어(Mark Bower)는 “POS는 굉장히 민감하고 중요한 정보들을 가지고 있을 뿐 아니라 사용자들의 업데이트나 패치 역시 굉장히 드물게 일어나는 곳”이라고 전했다.
POS 멀웨어에 대해 지속적으로 소개한 본지 국제부 문가용 기자는 “POS 멀웨어가 중요한 이유는 금융처리 시스템의 엔드포인트 중 가장 빈번하고 오랫동안 노출되고 있기 때문”이라며, “보안을 모르는 일반 사용자들이 무방비로 노출되어 있다는 게 가장 적나라하게 드러난 사례”라고 설명했다.
[민세아 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>