클롭 랜섬웨어 조직, 하루 10만 건씩 총 200만 건의 카드정보 공개 예고하고 10만 건 공개
공개된 카드정보가 실제 카드정보일 경우 2차 피해 이어질 가능성 있어
유통사 서버와 매장 PC, POS가 연결되어 있다면 악성코드 공격 가능성 높아
[보안뉴스 원병철 기자] 이랜드그룹을 공격한 것으로 알려진 클롭(CLOP) 랜섬웨어 조직이 이랜드그룹에서 유출했다고 주장하는 카드정보 10만 건을 공개한 가운데, 해당 카드정보가 유출된 정황에 대한 궁금증이 커지고 있다.
[이미지=utoimage]
일단 이랜드그룹은 “유출된 카드정보가 이랜드그룹에서 유출된 카드정보인지 확인할 수 없다”면서, 범죄에 활용될 수 있는 구체적인 정보가 있는 것도 아니라고 밝혔다. 하지만 3일 클롭 랜섬웨어 조직이 공개한 카드정보는 트랙2(TRACK 2) 데이터까지 포함되어 있으며, 대부분 카드 유효기간이 남아있기 때문에 2차 범죄에 활용될 가능성이 있다.
금융권 보안전문가에 따르면 트랙2에는 카드번호와 유효기간, 그리고 카드사마다 다르긴 하지만 CVC 혹은 CVV 정보가 담겨 있는데, 이 정보만으로도 불법적인 카드 사용이 가능하다. 우선 온라인에서는 카드번호와 유효기간 정보만으로 결제가 가능한 환경이 있기 때문에 충분히 불법으로 사용할 수 있다.
오프라인에서는 트랙2 데이터로 복제 마그네틱(자기) 카드를 만들 수 있고, 심지어 금융 분야에 실력을 갖춘 해커라면 IC카드에 카드정보를 집어넣는 것도 가능하다. 물론 복제카드의 경우 일반 신용카드와 모양(카드 디자인이나 색상 등)이 다르기 때문에 가맹점 등에서 의심할 수 있지만, 가맹점 자체가 의심스런 곳이라면 역시 결제가 가능하다. 즉, 지금 클롭 랜섬웨어 조직이 공개한 카드정보가 실제 카드정보일 경우, 2차 피해가 발생할 수 있다는 얘기다.
이와 함께 보안전문가들은 이번 범죄가 이랜드그룹의 서버와 매장 PC, 그리고 POS(포스)가 연결된 상황에서는 충분히 가능하다고 설명한다. 예를 들면, 클롭 랜섬웨어 공격자들이 이랜드그룹 서버에 침투한 후, 서버에 연결된 매장 PC에 POS용 악성코드를 심어 놓고, 매장 PC와 연결된 POS 기기를 감염시키는 것이다.
클롭 랜섬웨어 공격자들이 사용한 것으로 보이는 POS 악성코드는 POS 단말 메모리의 신용카드 번호를 검색해 로그파일로 저장하며, 룬 알고리즘을 이용해 신용카드 정보를 검증하고, ISO7811 표준의 TRACK1과 TRACK2를 식별해 카드정보를 탈취한다. 이랜드그룹은 민감정보를 암호화해 저장한다고 하지만, 이렇게 POS 단말기에서 바로 카드정보를 빼갈 경우에는 대응할 방법이 없다.
이러한 가정이 실제 발생했다고 한다면, 이랜드그룹에서 사용한 POS 중 어떤 POS가 악성코드에 감염됐는지 알 수 없기에 전수조사가 필요하다. 클롭 랜섬웨어 공격자들의 주장대로 이들이 유출한 카드정보가 200만개가 맞다면 적어도 1~2대의 POS 기기만 감염된 건 아닐 것이기 때문이다.
실제로 POS 단말기를 공격해 카드정보를 유출하는 해킹 사건은 이미 여러 차례 발생했다. 2020년 7월에는 여신전문금융업법 위반 사건을 조사하던 경찰이 범인에게서 압수한 USB에 대량의 카드정보가 있는 것을 확인하고 수사한 끝에 POS에 악성프로그램을 심어 신용카드 정보를 유출한 것을 확인한 사건이 있었다. 당시 56만 8천 건의 유효한 카드정보가 유출됐으며, 각 카드사들은 해당 카드의 주인에게 연락해 카드 교체 및 해외거래 정지 등록 등을 권고했다.
2020년 11월 글로벌 보안기업 ESET은 오라클의 POS 소프트웨어를 노린 모듈식 백도어 ‘ModPipe’를 발견했으며, 소디노키비(Sodinokibi) 랜섬웨어는 대기업을 공격한 뒤 먼저 POS 시스템으로부터 카드정보를 훔쳐낸 후 랜섬웨어 공격을 시작했다. 2019년 12월에는 미국에 50개 지점이 운영되는 캘리포니아 햄버거 체인점 ‘아일랜드 레스토랑’이 POS 공격을 받아 카드정보가 유출됐고, 온더보더, 처치스 치킨, 캐치 등 많은 식당 체인에서 POS 관련 사고가 발생한 것으로 알려졌다.
현재까지 클롭 랜섬웨어 공격자들이 공개한 10만 건의 카드정보가 실제로 이랜드그룹에서 유출된 정보인지 아직 공식 확인되지는 않은 상태지만, 이들이 직전에 공개한 38개의 샘플 카드정보는 실제 카드정보로 확인된 만큼, 이번 10만 건의 카드정보에 대한 신속한 조사가 필요하다는 지적이다.
아울러 실제 카드정보가 맞다면 이에 대한 후속조치가 시급한 상황이다. 금융사는 해당 카드의 정보를 FDS(이상금융거래 탐지시스템)에 올려 해외의 이상거래를 막아야 하고, 사용자에게 빠르게 연락해 카드를 새로 발급받도록 하거나 해외 사용을 막아야만 2차 피해를 차단할 수 있다.
[원병철 기자(boanone@boannews.com)]
공개된 카드정보가 실제 카드정보일 경우 2차 피해 이어질 가능성 있어
유통사 서버와 매장 PC, POS가 연결되어 있다면 악성코드 공격 가능성 높아
[보안뉴스 원병철 기자] 이랜드그룹을 공격한 것으로 알려진 클롭(CLOP) 랜섬웨어 조직이 이랜드그룹에서 유출했다고 주장하는 카드정보 10만 건을 공개한 가운데, 해당 카드정보가 유출된 정황에 대한 궁금증이 커지고 있다.
[이미지=utoimage]
일단 이랜드그룹은 “유출된 카드정보가 이랜드그룹에서 유출된 카드정보인지 확인할 수 없다”면서, 범죄에 활용될 수 있는 구체적인 정보가 있는 것도 아니라고 밝혔다. 하지만 3일 클롭 랜섬웨어 조직이 공개한 카드정보는 트랙2(TRACK 2) 데이터까지 포함되어 있으며, 대부분 카드 유효기간이 남아있기 때문에 2차 범죄에 활용될 가능성이 있다.
금융권 보안전문가에 따르면 트랙2에는 카드번호와 유효기간, 그리고 카드사마다 다르긴 하지만 CVC 혹은 CVV 정보가 담겨 있는데, 이 정보만으로도 불법적인 카드 사용이 가능하다. 우선 온라인에서는 카드번호와 유효기간 정보만으로 결제가 가능한 환경이 있기 때문에 충분히 불법으로 사용할 수 있다.
오프라인에서는 트랙2 데이터로 복제 마그네틱(자기) 카드를 만들 수 있고, 심지어 금융 분야에 실력을 갖춘 해커라면 IC카드에 카드정보를 집어넣는 것도 가능하다. 물론 복제카드의 경우 일반 신용카드와 모양(카드 디자인이나 색상 등)이 다르기 때문에 가맹점 등에서 의심할 수 있지만, 가맹점 자체가 의심스런 곳이라면 역시 결제가 가능하다. 즉, 지금 클롭 랜섬웨어 조직이 공개한 카드정보가 실제 카드정보일 경우, 2차 피해가 발생할 수 있다는 얘기다.
이와 함께 보안전문가들은 이번 범죄가 이랜드그룹의 서버와 매장 PC, 그리고 POS(포스)가 연결된 상황에서는 충분히 가능하다고 설명한다. 예를 들면, 클롭 랜섬웨어 공격자들이 이랜드그룹 서버에 침투한 후, 서버에 연결된 매장 PC에 POS용 악성코드를 심어 놓고, 매장 PC와 연결된 POS 기기를 감염시키는 것이다.
클롭 랜섬웨어 공격자들이 사용한 것으로 보이는 POS 악성코드는 POS 단말 메모리의 신용카드 번호를 검색해 로그파일로 저장하며, 룬 알고리즘을 이용해 신용카드 정보를 검증하고, ISO7811 표준의 TRACK1과 TRACK2를 식별해 카드정보를 탈취한다. 이랜드그룹은 민감정보를 암호화해 저장한다고 하지만, 이렇게 POS 단말기에서 바로 카드정보를 빼갈 경우에는 대응할 방법이 없다.
이러한 가정이 실제 발생했다고 한다면, 이랜드그룹에서 사용한 POS 중 어떤 POS가 악성코드에 감염됐는지 알 수 없기에 전수조사가 필요하다. 클롭 랜섬웨어 공격자들의 주장대로 이들이 유출한 카드정보가 200만개가 맞다면 적어도 1~2대의 POS 기기만 감염된 건 아닐 것이기 때문이다.
실제로 POS 단말기를 공격해 카드정보를 유출하는 해킹 사건은 이미 여러 차례 발생했다. 2020년 7월에는 여신전문금융업법 위반 사건을 조사하던 경찰이 범인에게서 압수한 USB에 대량의 카드정보가 있는 것을 확인하고 수사한 끝에 POS에 악성프로그램을 심어 신용카드 정보를 유출한 것을 확인한 사건이 있었다. 당시 56만 8천 건의 유효한 카드정보가 유출됐으며, 각 카드사들은 해당 카드의 주인에게 연락해 카드 교체 및 해외거래 정지 등록 등을 권고했다.
2020년 11월 글로벌 보안기업 ESET은 오라클의 POS 소프트웨어를 노린 모듈식 백도어 ‘ModPipe’를 발견했으며, 소디노키비(Sodinokibi) 랜섬웨어는 대기업을 공격한 뒤 먼저 POS 시스템으로부터 카드정보를 훔쳐낸 후 랜섬웨어 공격을 시작했다. 2019년 12월에는 미국에 50개 지점이 운영되는 캘리포니아 햄버거 체인점 ‘아일랜드 레스토랑’이 POS 공격을 받아 카드정보가 유출됐고, 온더보더, 처치스 치킨, 캐치 등 많은 식당 체인에서 POS 관련 사고가 발생한 것으로 알려졌다.
현재까지 클롭 랜섬웨어 공격자들이 공개한 10만 건의 카드정보가 실제로 이랜드그룹에서 유출된 정보인지 아직 공식 확인되지는 않은 상태지만, 이들이 직전에 공개한 38개의 샘플 카드정보는 실제 카드정보로 확인된 만큼, 이번 10만 건의 카드정보에 대한 신속한 조사가 필요하다는 지적이다.
아울러 실제 카드정보가 맞다면 이에 대한 후속조치가 시급한 상황이다. 금융사는 해당 카드의 정보를 FDS(이상금융거래 탐지시스템)에 올려 해외의 이상거래를 막아야 하고, 사용자에게 빠르게 연락해 카드를 새로 발급받도록 하거나 해외 사용을 막아야만 2차 피해를 차단할 수 있다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
