프레임워크POS, 하와이와 시카고의 중소기업 공격 성공
금융권 노리던 FIN6, 소매업계와 숙박업계, 요식업계 노리나

[보안뉴스 문가용] 지불카드 데이터를 POS 시스템의 메모리 프로세서로부터 탈취해 내는 프레임워크POS(FrameworkPOS) 멀웨어가 지난 달 발견된 것에 이어, 현장에서 계속해서 증가하고 있다는 사실 또한 발견되었다.



프레임워크POS를 사용하는 해커는 금융기관을 주로 노리는 FIN6인 것으로 추정되고 있다. FIN6를 계속해서 추적해 온 파이어아이(FireEye)에 의하면 현재 FIN6는 소매업과 숙박업을 집중해서 노리고 있으며 권한 상승 기법을 주로 활용하고 있다고 한다.

현재까지 FIN6는 프레임워크POS를 약 2000개의 시스템에 뿌려댄 것으로 조사됐다. 공격을 당한 카드의 수는 수백만 장에 달할 것으로 파이어아이는 보고 있다. 시스템에서 모은 민감한 정보를 중간 시스템으로 복사하고 FTP나 공개 파일 공유 서비스를 통해 공격자에게 전달하며, 트리니티(TRINITY)라는 이름도 붙어 있는 상태다.

최근 프레임워크POS를 활용한 공격자들은 하와이와 시카고에 있는 중소기업을 공격해 300개의 카드정보를 훔치는 데 성공했다. 이는 대규모 정보 유출 사태라고 볼 수는 없지만 “(악명 높은) FIN6가 활발히 움직이고 있었거나 다시 기지개를 펴기 시작했다”는 뜻이 되기 때문에 ‘겨우 300개’라고 우습게 볼 사건이 아니다.

또한 전문가들은 프레임워크POS 샘플 분석을 통해 알로하(Aloha)라는 POS 플랫폼을 주 표적으로 삼고 있다는 추측을 할 수 있었다. 알로하 POS 플랫폼은 NCR에서 개발한 것으로 요식업체에서 특히 많이 사용된다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)