POS 시스템의 메모리에서 필요한 정보 추출 후 자기 삭제
고도로 발전된 멀웨어, 제작자는 업그레이드까지 잊지 않아
[보안뉴스 문가용] 보안전문 업체인 트러스트웨이브(Trustwave)가 POS 멀웨어에 대해 업계에 경고했다. 이 멀웨어의 이름은 ‘체리 피커(Cherry Picker)’로 2011년부터 활동한 것으로 알려져 있다. 이토록 오랫동안 멀웨어 하나가 살아남을 수 있었던 건 백신 및 멀웨어 탐지 소프트웨어를 무력화시키는 남다른 스텔스 기능 덕분. “암호화와 설정 파일, 명령 줄 인수를 사용할 줄 아는 멀웨어인데 난독화 기술까지도 갖추고 있으니 어지간해서는 탐지가 안 되는 게 당연하죠.”
.jpg)
트러스트웨이브에 의하면 체리 피커는 목적에 따라 다양한 모습으로 설정하는 게 가능하며 POS 시스템의 메모리로부터 데이터를 훔치는 방법도 남다르다. “메모리를 분석(parse) 해서 카드의 정보를 탈취하고 나서는 탑재된 클리너(cleaner) 프로그램으로 자신의 흔적을 지워내기도 합니다. 이 역시 이 멀웨어가 오랫동안 살아남을 수 있었던 비결 중 하나고요.”
한편 POS를 공격하는 방법은 신용카드 및 소비자 정보를 탈취하는 데에 대단히 유용한 방법으로 해커들이 자주 애용해오고 있다. “대부분 업자들이나 POS 제작업체가 중요한 데이터를 저장할 때 암호화하지 않습니다. 왜냐하면 데이터가 입력되고 승인되기까지 메모리에 아주 잠깐 남아있기 때문이죠. 즉, 암호화할 필요가 없다고 생각한 겁니다. 그런데 그 짧은 순간을 악용하는 법을 해커들은 개발해왔고, 이제는 아주 쉽게 성공하고 있습니다.”
POS 멀웨어는 이미 2005년부터 등장해 카드사용자들을 괴롭혀왔다. 하지만 본격적인 이슈가 된 것은 2013년과 2014년, 대형 사고들이 잇따라 터지면서부터였다. 두 해를 거치며 억 단위의 카드 정보가 유출된 것이다. 그러면서 본격적으로 POS 멀웨어에 대한 탐구가 시작되었고, 이는 아직도 해결이 다 안 된 상태로 남아있다. 심지어 POS 멀웨어를 쉽게 사용할 수 있게 해주는 킷도 저렴한 가격에 등장하고 있다.
한편 체리 피커를 제작한 해커들은 꾸준한 업그레이드를 감행하고 있는 것으로 트러스트웨이브는 파악하고 있다. “현재 돌아다니고 있는 체리 피커는 3세대쯤 되는 것으로 보이며 이렇게 업그레이드가 진행되고 있다는 사실은 보안 전문가로서는 염두에 두어야 하는 사실입니다. 보통 멀웨어 제작자들은 자신들이 만든 멀웨어를 소모품처럼 여기거든요. 체리 피커 배후에 있는 인물은 좀 더 부지런하고 조직적인 듯 합니다. 이런 사람들이 더 무섭죠.”
이런 예외적인 부지런함 때문에 발생하는 무서움이 바로 앞서 설명한 ‘자기 삭제 기능’이라고 볼 수 있다는 게 트러스트웨이브의 설명이다. “보통 해커들이 자기 멀웨어를 소모품처럼 생각하기 때문에 흔적을 지우려는 노력을 하지 않습니다. 체리 피커의 해커는 이렇게 생각하지 않았기 때문에 자기 삭제 기능을 삽입한 거고, 그렇기 때문에 4년이나 POS들을 농락할 수 있었던 것이죠.”
또한 그렇기 때문에 아직 트러스트웨이브도 완벽한 복구법을 발견하지 못했다고 한다. “아직 완벽한 방법이 없는 건 체리 피커가 굉장히 고차원적으로 발전한 물건이기 때문입니다. 정상 파일을 감염시키고, 시스템 내부로부터 작동하는 모양새를 보면 이 제작자가 얼마나 뛰어난 인물인지 알 수 있습니다. 솔직히 전문가로서 흥미롭습니다. 어떻게 이걸 만들 수 있었는지, 제작자를 한 번 만나보고 싶은 심정입니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
고도로 발전된 멀웨어, 제작자는 업그레이드까지 잊지 않아
[보안뉴스 문가용] 보안전문 업체인 트러스트웨이브(Trustwave)가 POS 멀웨어에 대해 업계에 경고했다. 이 멀웨어의 이름은 ‘체리 피커(Cherry Picker)’로 2011년부터 활동한 것으로 알려져 있다. 이토록 오랫동안 멀웨어 하나가 살아남을 수 있었던 건 백신 및 멀웨어 탐지 소프트웨어를 무력화시키는 남다른 스텔스 기능 덕분. “암호화와 설정 파일, 명령 줄 인수를 사용할 줄 아는 멀웨어인데 난독화 기술까지도 갖추고 있으니 어지간해서는 탐지가 안 되는 게 당연하죠.”
트러스트웨이브에 의하면 체리 피커는 목적에 따라 다양한 모습으로 설정하는 게 가능하며 POS 시스템의 메모리로부터 데이터를 훔치는 방법도 남다르다. “메모리를 분석(parse) 해서 카드의 정보를 탈취하고 나서는 탑재된 클리너(cleaner) 프로그램으로 자신의 흔적을 지워내기도 합니다. 이 역시 이 멀웨어가 오랫동안 살아남을 수 있었던 비결 중 하나고요.”
한편 POS를 공격하는 방법은 신용카드 및 소비자 정보를 탈취하는 데에 대단히 유용한 방법으로 해커들이 자주 애용해오고 있다. “대부분 업자들이나 POS 제작업체가 중요한 데이터를 저장할 때 암호화하지 않습니다. 왜냐하면 데이터가 입력되고 승인되기까지 메모리에 아주 잠깐 남아있기 때문이죠. 즉, 암호화할 필요가 없다고 생각한 겁니다. 그런데 그 짧은 순간을 악용하는 법을 해커들은 개발해왔고, 이제는 아주 쉽게 성공하고 있습니다.”
POS 멀웨어는 이미 2005년부터 등장해 카드사용자들을 괴롭혀왔다. 하지만 본격적인 이슈가 된 것은 2013년과 2014년, 대형 사고들이 잇따라 터지면서부터였다. 두 해를 거치며 억 단위의 카드 정보가 유출된 것이다. 그러면서 본격적으로 POS 멀웨어에 대한 탐구가 시작되었고, 이는 아직도 해결이 다 안 된 상태로 남아있다. 심지어 POS 멀웨어를 쉽게 사용할 수 있게 해주는 킷도 저렴한 가격에 등장하고 있다.
한편 체리 피커를 제작한 해커들은 꾸준한 업그레이드를 감행하고 있는 것으로 트러스트웨이브는 파악하고 있다. “현재 돌아다니고 있는 체리 피커는 3세대쯤 되는 것으로 보이며 이렇게 업그레이드가 진행되고 있다는 사실은 보안 전문가로서는 염두에 두어야 하는 사실입니다. 보통 멀웨어 제작자들은 자신들이 만든 멀웨어를 소모품처럼 여기거든요. 체리 피커 배후에 있는 인물은 좀 더 부지런하고 조직적인 듯 합니다. 이런 사람들이 더 무섭죠.”
이런 예외적인 부지런함 때문에 발생하는 무서움이 바로 앞서 설명한 ‘자기 삭제 기능’이라고 볼 수 있다는 게 트러스트웨이브의 설명이다. “보통 해커들이 자기 멀웨어를 소모품처럼 생각하기 때문에 흔적을 지우려는 노력을 하지 않습니다. 체리 피커의 해커는 이렇게 생각하지 않았기 때문에 자기 삭제 기능을 삽입한 거고, 그렇기 때문에 4년이나 POS들을 농락할 수 있었던 것이죠.”
또한 그렇기 때문에 아직 트러스트웨이브도 완벽한 복구법을 발견하지 못했다고 한다. “아직 완벽한 방법이 없는 건 체리 피커가 굉장히 고차원적으로 발전한 물건이기 때문입니다. 정상 파일을 감염시키고, 시스템 내부로부터 작동하는 모양새를 보면 이 제작자가 얼마나 뛰어난 인물인지 알 수 있습니다. 솔직히 전문가로서 흥미롭습니다. 어떻게 이걸 만들 수 있었는지, 제작자를 한 번 만나보고 싶은 심정입니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
