.gif)
세계적으로 확산되는 무인점포와 키오스크...보안문제 혹은 장애발생시 대처 느려
제대로 된 무인화기기 관리·보안 솔루션 시급...신속한 대응 필요해
[보안뉴스= 최승환 위젯누리 대표] 무인점포는 전 세계적으로 확산 중이며 인공지능(AI)과 사물인터넷(IoT), 센서기술의 발달, 노동인력 부족, 그리고 최저임금 인상 등의 이유로 다양한 분야에서 무인화가 활발하게 이루어지고 있다. 한국은 2년 연속 10%대 최저임금 인상에 따라 인건비 부담이 늘어났고 접촉을 꺼리는 언택트(Un-tack) 문화가 확산되면서 무인시대가 본격화되고 있다. 식당에서는 키오스크(KIOSK)를 통해 고객이 스스로 주문을 하고, 무인 편의점이 곳곳에 생겨나기 시작했다.
[이미지=utoimage]
현재 무인화는 유통업계뿐만 아니라 업종 불문하고 거의 모든 영역에서 진행되고 있다. 인건비와 임대료 부담이 이익의 상당 부분을 차지하는 자영업계를 중심으로 스터디카페, 도서관, 코인노래방, 게임장 등 비외식과 외식, 도소매업, 서비스 업종에서 무인매장이 등장하고 있다. 아울러 무인매장이 등장하면서 키오스크에 대한 수요도 함께 증가 중이다. 하지만 키오스크가 단지 비용 절감의 수단으로만 사용되는 것은 아니며, 연구 결과에 따르면 키오스크가 매출을 증대시키는 효과도 있는 것으로 나타난다.
그렇다면 소비자의 입장에서 키오스크와 같은 셀프 서비스 기기를 이용하는 것은 어떤 이점이 있을까? 소비자가 직원 대신 키오스크를 이용한다는 의미는 다른 말로 기업이 제공해야 할 주문, 결제 등의 업무에 소비자가 기꺼이 자신의 시간과 노동력을 제공한다는 것과 같다. 그럼에도 불구하고 소비자는 직원을 통하는 것보다 키오스크가 더 편리하다고 느끼게 된다.
이러한 역설적인 효과가 발생하는 이유는 키오스크를 이용함으로써 대기/처리 시간이 단축되거나 소비자 자신이 직접 개인화 수준의 최적화 및 서비스 품질 제어를 할 수 있다는 점에서 편리함을 느끼기 때문이다. 이는 키오스크뿐만 아니라 모든 무인화기기에 대한 이유이며 언택트(Un-tact)의 확산으로 사람을 직접 만나지 않고 물품을 구매하거나 서비스 따위를 받는 일이 증가되며 젊은 세대를 중심으로 사람과 직접 소통을 원치 않는 문화가 확산되어 번화가나 대학가 음식점에서는 직원이 직접 주문을 받기보다는 무인화기기를 통해 주문을 하는 것을 볼 수 있다. 이 현상은 하나의 문화처럼 인식되어 언택트 문화(Un-tact Culture)로 지칭되고 있으며 인건비 절감이라는 장점이 맞닿아 리테일 업계의 무인화는 가속화 되고 있다.
무인화기기의 보안위협
현재 리테일 시장에서는 오래 전부터 대형 마트나 쇼핑몰 등에서 윈도우 운영체제가 많이 적용되어 사용되고 있고 Windows Embedded POSReady 7과 Windows 10 IoT 등 무인화기기에 맞는 윈도우 운영체제가 보급되고 있으며, 간편하고 저렴하게 사용할 수 있는 안드로이드기반의 운영체제도 나타나고 있다.
이처럼 윈도우 운영체제가 많이 쓰이는 것은 기존의 임베디드 환경에서도 GUI를 쓰기 위해 도입되었으며 이와 관련해서 많은 외부장치들이 윈도우에 맞게 설계되고 개발되어 호환성이 좋기 때문에 현재까지 윈도우 운영체제의 무인화기기가 대부분이다. 따라서 윈도우와 관련된 취약점 또한 키오스크와 같은 무인화기기에도 적용된다. 업계에 따르면 대부분 구형자판기와 카드결제 단말기에는 업데이트가 지원되지 않아 보안 취약성이 높은 윈도우 XP OS가 탑재돼 운영되고 있어, 외부 서버와 연결된 최신 키오스크에도 윈도우 XP가 설치된 경우가 있다. 중고제품에서 분해한 CPU, 하드디스크, 디스플레이, 메인보드 등의 부품이 오래되지 않은 이상 재활용하는 경우가 흔하다.
키오스크 제조·유통업체들이 약 1년간의 무상 사후서비스(A/S)를 제공한 이후에는 소규모 매장의 경우 OS 및 보안 업데이트 관리를 소홀히 할 수밖에 없다. 대부분 프로그램 충돌과 오류 가능성으로 자동업데이트 기능을 막아놔 제대로 된 보안 업데이트를 받지 못하는 경우가 많다. 이는 윈도우의 취약점을 이용하여 충분히 무인화기기를 해킹할 수 있으며, 이를 통해 좀비PC, 봇넷, 채굴 등의 악성행위를 할 수 있으며, 이는 무인화기기처럼 사용자가 백그라운드에 돌아가는 프로그램을 모니터링 하지 않는 이상 쉽게 알아차릴 수 없게 되어 더 악용될 수밖에 없는 구조다.
또한, 이런 무인화기기 소프트웨어를 개발하는 곳도 상대적으로 일반 사용자나 기업, 공공기관에 서비스되는 소프트웨어가 아니기 때문에 시큐어코딩과 같이 보안에 크게 신경 쓰지 않고 개발되어 다양한 보안위협에 노출된다. 대표적으로 무인화기기의 보안위협은 무선통신에 있을 수 있다. WI-FI를 통해 무선 네트워크를 사용해 다양한 제어나 정보 전송을 할 수 있으며, 이런 무선네트워크에 특히나 보안설정에 따라 해킹에 취약한 부분이 있다.
대부분의 키오스크는 공유기를 통해 NAT로 구성되며, 이 공유기는 대부분 무선 네트워크 기능을 활성화하고 있어 이런 무선 네트워크 보안설정을 WEP나 WPA와 같이 낮은 보안설정으로 하는 경우가 의외로 많이 발생한다. 대부분 별도의 설정 없이 기본으로 사용하기 때문에 이런 취약점이 발견되기 쉽다. 이를 통해서 무선으로 접근해 WEP 방식이라면 IV의 수집과 분석을 통해 패턴을 역분석해 비밀번호를 알아낼 수도 있다. WPA는 WEP의 개선 버전이지만, 사전 대입 공격을 통해 이 또한 비밀번호를 알 수 있다.
이렇게 무선네트워크를 통해 접근권한을 획득하고 같은 네트워크에 있는 키오스크에 접근해 윈도우 취약점을 이용해 다양한 해킹을 시도할 수 있다. 이를 통해 멀웨어, 랜섬웨어, 봇넷, 좀비PC 등을 C&C서버에서 다운로드해 무방비인 키오스크나 무인화기기에 동작하게 하면, 다양한 악성 행위를 할 수가 있다.
더 심각한 문제는 공유기 또는 무인화기기에 대한 기본적인 보안설정이 되어 있지 않고 무방비인 상태로 서비스가 되고 있다는 점이다. 무인화기기 중 키오스크는 윈도우 운영체제 안에서 동작되도록 설계됐으며, 이런 윈도우 운영체제의 기본적인 로그인 계정 또는 접근권한 자체가 설정되어 있지 않거나, 로그인 계정 자체가 관리자 계정으로 사용되며 로그인 자체의 비밀번호도 쉽게 유추할 수 있는 수준으로 대부분 설정한다. 이는 기기의 결함이나 장애로 인해 신속한 기술지원을 하기 위해 설정함으로서 더욱 상황을 악화시킨다.
또한, 키오스크의 로그인을 걸어 놓으면 매장을 OPEN할 때마다 로그인을 해야 하는 번거로움과 직원들의 로그인 정보 공유 등 불편함으로 인해 보안적인 관점보단 서비스적인 관점이 더욱 높아 실제로 윈도우 운영체제의 계정 로그인이 없는 경우가 많기 때문에 네트워크가 뚫리면 접근 권한 없이 마음대로 해당 키오스크를 제어할 수 있다. 대부분의 무인화기기는 키오스크와 같은 실정이며, IP와 PORT에 대한 방화벽 정책도 없기 때문에 외부에서도 인터넷 망이 연결되어 있으면 마음대로 접근이 가능하다. 이는 원격 데스크탑, FTP, HTTP 등 다양한 포트로 접근이 가능해 원격지에서 마음대로 제어가 가능해 해킹에 무방비로 노출되어 있다.
아울러 안티-바이러스 제품과 같은 기본 보안솔루션도 설치되어 있지 않기 때문에 어떤 경로로 들어와서 실행되는 악성 멀웨어에 대한 검사나 차단이 이루어지지 않는다. 이러한 이유로 바로 시스템이 공격당하거나 악용되며, 이를 인지하는데 많은 시간이 소요되어 이미 주변의 키오스크나 POS와 같이 같은 네트워크로 형성되어 있는 단말기는 모두 감염될 수 있다. 윈도우 자체에 윈도우 디펜더란 안티-바이러스 보안솔루션이 내장되어 있지만, 윈도우 업데이트를 수동으로 운영하기 때문에 최신 멀웨어 정보나 업데이트가 되지 않아 보안에 취약한 것은 마찬가지다.
이미 무방비로 노출된 무인화기기에 대한 보안위협은 서비스 업데이트를 통해 쉽게 이루어질 수 있다. 시큐어코딩이 미흡한 서비스 소프트웨어는 업데이트를 통해 악성 멀웨어가 같이 배포되고 이를 통해 서비스 소프트웨어의 취약점을 이용해 쉘스크립트 공격이나 인젝션 , 버퍼오버플로우 공격 등 다양한 방법을 통해 무인화기기에 대한 중요 정보 탈취는 물론 결제에 관련된 카드정보, 사용내역 등의 정보를 가져와 추가적인 피해를 발생시킬 수 있다. 현재 무인화기기는 PMS와 같은 솔루션도 대부분 사용하지 않으며, 자체 서비스 내에서 업데이트 하는 방식 또는 원격제어를 통해 파일을 복사하여 대부분 업데이트를 한다.
이렇게 무인화기기는 엄청난 속도로 발전하며 이미 우리 생활 곳곳에 스며들고 있지만, 관리는 물론 보안위협에 대한 대책이 전무한 상황이다. 다음 연재에서는 이렇게 무방비로 노출된 무인화기기의 보안위협을 해소할 수 있는 방안을 제시하고자 한다.
[글_ 최승환 위젯누리 대표]
제대로 된 무인화기기 관리·보안 솔루션 시급...신속한 대응 필요해
[보안뉴스= 최승환 위젯누리 대표] 무인점포는 전 세계적으로 확산 중이며 인공지능(AI)과 사물인터넷(IoT), 센서기술의 발달, 노동인력 부족, 그리고 최저임금 인상 등의 이유로 다양한 분야에서 무인화가 활발하게 이루어지고 있다. 한국은 2년 연속 10%대 최저임금 인상에 따라 인건비 부담이 늘어났고 접촉을 꺼리는 언택트(Un-tack) 문화가 확산되면서 무인시대가 본격화되고 있다. 식당에서는 키오스크(KIOSK)를 통해 고객이 스스로 주문을 하고, 무인 편의점이 곳곳에 생겨나기 시작했다.
[이미지=utoimage]
현재 무인화는 유통업계뿐만 아니라 업종 불문하고 거의 모든 영역에서 진행되고 있다. 인건비와 임대료 부담이 이익의 상당 부분을 차지하는 자영업계를 중심으로 스터디카페, 도서관, 코인노래방, 게임장 등 비외식과 외식, 도소매업, 서비스 업종에서 무인매장이 등장하고 있다. 아울러 무인매장이 등장하면서 키오스크에 대한 수요도 함께 증가 중이다. 하지만 키오스크가 단지 비용 절감의 수단으로만 사용되는 것은 아니며, 연구 결과에 따르면 키오스크가 매출을 증대시키는 효과도 있는 것으로 나타난다.
그렇다면 소비자의 입장에서 키오스크와 같은 셀프 서비스 기기를 이용하는 것은 어떤 이점이 있을까? 소비자가 직원 대신 키오스크를 이용한다는 의미는 다른 말로 기업이 제공해야 할 주문, 결제 등의 업무에 소비자가 기꺼이 자신의 시간과 노동력을 제공한다는 것과 같다. 그럼에도 불구하고 소비자는 직원을 통하는 것보다 키오스크가 더 편리하다고 느끼게 된다.
이러한 역설적인 효과가 발생하는 이유는 키오스크를 이용함으로써 대기/처리 시간이 단축되거나 소비자 자신이 직접 개인화 수준의 최적화 및 서비스 품질 제어를 할 수 있다는 점에서 편리함을 느끼기 때문이다. 이는 키오스크뿐만 아니라 모든 무인화기기에 대한 이유이며 언택트(Un-tact)의 확산으로 사람을 직접 만나지 않고 물품을 구매하거나 서비스 따위를 받는 일이 증가되며 젊은 세대를 중심으로 사람과 직접 소통을 원치 않는 문화가 확산되어 번화가나 대학가 음식점에서는 직원이 직접 주문을 받기보다는 무인화기기를 통해 주문을 하는 것을 볼 수 있다. 이 현상은 하나의 문화처럼 인식되어 언택트 문화(Un-tact Culture)로 지칭되고 있으며 인건비 절감이라는 장점이 맞닿아 리테일 업계의 무인화는 가속화 되고 있다.
무인화기기의 보안위협
현재 리테일 시장에서는 오래 전부터 대형 마트나 쇼핑몰 등에서 윈도우 운영체제가 많이 적용되어 사용되고 있고 Windows Embedded POSReady 7과 Windows 10 IoT 등 무인화기기에 맞는 윈도우 운영체제가 보급되고 있으며, 간편하고 저렴하게 사용할 수 있는 안드로이드기반의 운영체제도 나타나고 있다.
이처럼 윈도우 운영체제가 많이 쓰이는 것은 기존의 임베디드 환경에서도 GUI를 쓰기 위해 도입되었으며 이와 관련해서 많은 외부장치들이 윈도우에 맞게 설계되고 개발되어 호환성이 좋기 때문에 현재까지 윈도우 운영체제의 무인화기기가 대부분이다. 따라서 윈도우와 관련된 취약점 또한 키오스크와 같은 무인화기기에도 적용된다. 업계에 따르면 대부분 구형자판기와 카드결제 단말기에는 업데이트가 지원되지 않아 보안 취약성이 높은 윈도우 XP OS가 탑재돼 운영되고 있어, 외부 서버와 연결된 최신 키오스크에도 윈도우 XP가 설치된 경우가 있다. 중고제품에서 분해한 CPU, 하드디스크, 디스플레이, 메인보드 등의 부품이 오래되지 않은 이상 재활용하는 경우가 흔하다.
키오스크 제조·유통업체들이 약 1년간의 무상 사후서비스(A/S)를 제공한 이후에는 소규모 매장의 경우 OS 및 보안 업데이트 관리를 소홀히 할 수밖에 없다. 대부분 프로그램 충돌과 오류 가능성으로 자동업데이트 기능을 막아놔 제대로 된 보안 업데이트를 받지 못하는 경우가 많다. 이는 윈도우의 취약점을 이용하여 충분히 무인화기기를 해킹할 수 있으며, 이를 통해 좀비PC, 봇넷, 채굴 등의 악성행위를 할 수 있으며, 이는 무인화기기처럼 사용자가 백그라운드에 돌아가는 프로그램을 모니터링 하지 않는 이상 쉽게 알아차릴 수 없게 되어 더 악용될 수밖에 없는 구조다.
또한, 이런 무인화기기 소프트웨어를 개발하는 곳도 상대적으로 일반 사용자나 기업, 공공기관에 서비스되는 소프트웨어가 아니기 때문에 시큐어코딩과 같이 보안에 크게 신경 쓰지 않고 개발되어 다양한 보안위협에 노출된다. 대표적으로 무인화기기의 보안위협은 무선통신에 있을 수 있다. WI-FI를 통해 무선 네트워크를 사용해 다양한 제어나 정보 전송을 할 수 있으며, 이런 무선네트워크에 특히나 보안설정에 따라 해킹에 취약한 부분이 있다.
대부분의 키오스크는 공유기를 통해 NAT로 구성되며, 이 공유기는 대부분 무선 네트워크 기능을 활성화하고 있어 이런 무선 네트워크 보안설정을 WEP나 WPA와 같이 낮은 보안설정으로 하는 경우가 의외로 많이 발생한다. 대부분 별도의 설정 없이 기본으로 사용하기 때문에 이런 취약점이 발견되기 쉽다. 이를 통해서 무선으로 접근해 WEP 방식이라면 IV의 수집과 분석을 통해 패턴을 역분석해 비밀번호를 알아낼 수도 있다. WPA는 WEP의 개선 버전이지만, 사전 대입 공격을 통해 이 또한 비밀번호를 알 수 있다.
이렇게 무선네트워크를 통해 접근권한을 획득하고 같은 네트워크에 있는 키오스크에 접근해 윈도우 취약점을 이용해 다양한 해킹을 시도할 수 있다. 이를 통해 멀웨어, 랜섬웨어, 봇넷, 좀비PC 등을 C&C서버에서 다운로드해 무방비인 키오스크나 무인화기기에 동작하게 하면, 다양한 악성 행위를 할 수가 있다.
더 심각한 문제는 공유기 또는 무인화기기에 대한 기본적인 보안설정이 되어 있지 않고 무방비인 상태로 서비스가 되고 있다는 점이다. 무인화기기 중 키오스크는 윈도우 운영체제 안에서 동작되도록 설계됐으며, 이런 윈도우 운영체제의 기본적인 로그인 계정 또는 접근권한 자체가 설정되어 있지 않거나, 로그인 계정 자체가 관리자 계정으로 사용되며 로그인 자체의 비밀번호도 쉽게 유추할 수 있는 수준으로 대부분 설정한다. 이는 기기의 결함이나 장애로 인해 신속한 기술지원을 하기 위해 설정함으로서 더욱 상황을 악화시킨다.
또한, 키오스크의 로그인을 걸어 놓으면 매장을 OPEN할 때마다 로그인을 해야 하는 번거로움과 직원들의 로그인 정보 공유 등 불편함으로 인해 보안적인 관점보단 서비스적인 관점이 더욱 높아 실제로 윈도우 운영체제의 계정 로그인이 없는 경우가 많기 때문에 네트워크가 뚫리면 접근 권한 없이 마음대로 해당 키오스크를 제어할 수 있다. 대부분의 무인화기기는 키오스크와 같은 실정이며, IP와 PORT에 대한 방화벽 정책도 없기 때문에 외부에서도 인터넷 망이 연결되어 있으면 마음대로 접근이 가능하다. 이는 원격 데스크탑, FTP, HTTP 등 다양한 포트로 접근이 가능해 원격지에서 마음대로 제어가 가능해 해킹에 무방비로 노출되어 있다.
아울러 안티-바이러스 제품과 같은 기본 보안솔루션도 설치되어 있지 않기 때문에 어떤 경로로 들어와서 실행되는 악성 멀웨어에 대한 검사나 차단이 이루어지지 않는다. 이러한 이유로 바로 시스템이 공격당하거나 악용되며, 이를 인지하는데 많은 시간이 소요되어 이미 주변의 키오스크나 POS와 같이 같은 네트워크로 형성되어 있는 단말기는 모두 감염될 수 있다. 윈도우 자체에 윈도우 디펜더란 안티-바이러스 보안솔루션이 내장되어 있지만, 윈도우 업데이트를 수동으로 운영하기 때문에 최신 멀웨어 정보나 업데이트가 되지 않아 보안에 취약한 것은 마찬가지다.
이미 무방비로 노출된 무인화기기에 대한 보안위협은 서비스 업데이트를 통해 쉽게 이루어질 수 있다. 시큐어코딩이 미흡한 서비스 소프트웨어는 업데이트를 통해 악성 멀웨어가 같이 배포되고 이를 통해 서비스 소프트웨어의 취약점을 이용해 쉘스크립트 공격이나 인젝션 , 버퍼오버플로우 공격 등 다양한 방법을 통해 무인화기기에 대한 중요 정보 탈취는 물론 결제에 관련된 카드정보, 사용내역 등의 정보를 가져와 추가적인 피해를 발생시킬 수 있다. 현재 무인화기기는 PMS와 같은 솔루션도 대부분 사용하지 않으며, 자체 서비스 내에서 업데이트 하는 방식 또는 원격제어를 통해 파일을 복사하여 대부분 업데이트를 한다.
이렇게 무인화기기는 엄청난 속도로 발전하며 이미 우리 생활 곳곳에 스며들고 있지만, 관리는 물론 보안위협에 대한 대책이 전무한 상황이다. 다음 연재에서는 이렇게 무방비로 노출된 무인화기기의 보안위협을 해소할 수 있는 방안을 제시하고자 한다.
[글_ 최승환 위젯누리 대표]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
 TH.jpg)
 TH.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
