신용카드 정보 해킹에 사용된 POS기 취약점…지난 10년간 존재…한국도 위험
포스기 해킹을 통한 신용카드 정보 탈취 지속적으로 발생…한국도 만연 패치 나와있지만 적용하지 않은 소매점 상당수…다크웹에 훔친 카드정보 판매
세계에서 가장 큰 두 제조업체가 생산 한 POS(Point-of-sale) 단말기의 보안 취약점으로 인해 사이버 범죄자들이 신용카드 정보를 훔치고 단말기를 복제하고 다른 형태의 금융 사기를 저지를 수 있었다.
11일 블랙햇 유럽 2020에서, 알렉세이 스테니코브와 사이버R&D랩 연구원은 전 세계 수백만 매장에서 사용되는 Verifone 및 Ingenico 제품의 취약성에 대해 연구결과를 발표해 주목을 받았다. 해당 취약점은 공급업체에 이미 전달돼 패치됐다.
하지만 소매업체 및 PoS 터미널의 배포 및 사용에 관련된 이용자들이 실제로 업데이트를 적용했는지는 알 수 없어 여전히 위험하다고 할 수 있다.
이번에 공개된 주요 취약점 중 하나는 공격자가 서비스 메뉴에 액세스 할 수 있고 악성 명령을 실행하기 위해 시스템의 코드를 조작하거나 변경할 수 있는 기본 암호를 사용하는 것이다.
연구원들은 이런 보안 문제가 최소 지난 10년 동안 존재했으며 일부는 최대 20년 동안 하나 또는 다른 형태로 존재했지만 후자는 더 이상 사용되지 않는 장치의 기존 요소에 대부분 존재한다고 밝혀 충격을 주고 있다.
해커는 PoS 터미널에 물리적으로 액세스 할 수 있거나 인터넷을 통해 원격으로 액세스 한 다음 임의 코드, 버퍼 오버플로 및 기타 일반적인 기술을 실행해 POS 기기 제어와 신용카드 정보를 탈취해 갈 수 있다.
공격자는 피싱이나 다른 공격을 통해 네트워크에 액세스 한 다음 네트워크를 자유롭게 이동해 PoS 터미널로 이동하면 원격 액세스가 가능하다.
궁극적으로 PoS 머신은 컴퓨터이며 네트워크와 인터넷에 연결되어있는 경우 공격자는 다른 안전하지 않은 머신처럼 액세스를 시도하고 조작 할 수 있는 것이다.
PoS 터미널이 나머지 네트워크와 통신하는 방식은 공격자가 Track2 및 PIN 정보를 포함한 암호화되지 않은 데이터 카드 데이터에 액세스해 결제 카드를 훔치고 복제하는 데 필요한 모든 정보를 탈취할 수 있다.
보안연구원은 “이런 PoS 취약점을 악용하는 공격으로부터 보호하려면 장치를 사용하는 소매 업체가 패치를 적용하고 최신 상태인지 확인하고 가능한 경우 기본 암호를 사용하지 않는 것이 필수적이다”라며 “또한 가능하면 PoS 장치가 다른 장치와 다른 네트워크에 있는 것이 좋다”고 권고했다.
한편 최근 클롭 랜섬웨어 조직은 이랜드그룹 매장에서 사용하는 POC기기를 해킹해 한국인 신용카드 정보 200만건을 탈취했다고 주장했다. 그들은 자신들이 요구한 랜섬머니를 이랜드측이 주지 않자 다크웹 사이트에 30만건의 신용카드 정보를 공개하고 있는 상황이다.
★정보보안 대표 미디어 데일리시큐!★