알로하라는 유명 PoS 플랫폼을 사용하는 식당들이 손님들의 밥값을 결제하는 데에 어려움을 겪고 있다. 플랫폼이 랜섬웨어에 감염됐기 때문이다. 블랙캣이라는 유명 단체가 저지른 것으로 보인다.

[보안뉴스 문가용 기자] 지불 처리 기술을 개발하고 보급하는 대기업 NCR코퍼레이션(NCR Corporation)이 최근 랜섬웨어 공격에 당했음을 밝혔다. NCR에서 개발한 알로하(Aloha) PoS 소프트웨어 플랫폼이 이 공격으로 인해 마비된 것으로 알려져 있으며, 알로하를 사용하는 수많은 식당들 역시 불편을 겪게 됐다고 한다.


랜섬웨어 단체인 블랙캣(BlackCat)은 자신들이 저지른 짓이라고 주장했다. NCR은 이러한 블랙캣의 주장이 사실임을 알리며, “복구를 진행 중에 있으니 안심해도 된다”고 설명했다. 또한 “최대한 빠르게 서비스를 원상복귀시켜 고객들이 겪는 불편함을 최소화 할 것”이라고 발표했다.

알로하 서비스에서 이상 증상이 발견된 건 수일 전의 일이고, NCR 측은 이와 관련하여 첫 번째 소식을 4월 12일에 발표했다. 당시 NCR은 “이상한 일이 일어나 조사를 진행하고 있다”고만 밝혔었다. 그러자 인터넷 사용자들의 대형 커뮤니티인 레딧(Reddit)에서는 알로하 사용자들 간 정보 공유 스레드가 형성됐고, 여기서 각종 근황과 대책 등이 논의됐다.

알로하 웹사이트에 들어가면 알로하를 사용하고 있는 식당의 목록이 나온다. 매드멕스(Mad Mex)와 치폴레(Chipotle) 등 유명 브랜드들도 여기에 포함되어 있다.

보안 업체 태니엄(Tanium)의 수석 보안 고문인 티모시 모리스(Timothy Morris)는 “블랙캣은 자신들이 NCR을 공격했지만 데이터는 훔쳐가지 않았다고 주장하고 있다”고 자신이 다크웹에서 확인한 내용을 설명한다. “다만 이들은 크리덴셜 정보는 가져간 것으로 보입니다. 이걸 가지고 NCR을 협박하며 돈을 요구하고 있지요.”

블랙캣이 최초에 어떤 방법으로 NCR의 알로하를 침해했는지는 아직 명확히 밝혀지지 않고 있다. 보안 업체 그립시큐리티(Grip Security)의 CEO 리오르 야리(Lior Yaari)는 “다른 정보는 가져가지 않은 공격자가 크리덴셜은 챙겼다는 사실 자체가 시사하는 바가 크다”고 설명한다.

“최근 수많은 조직들이 ‘분산 네트워크’ 체제를 유지하고 있습니다. 전 사원이 재택 근무를 하는 건 아닙니다만 코로나 이전과 비교했을 때는 원격 근무자가 유의미하게 늘어났죠. 네트워크 환경이 이런 식으로 변해갈수록 크리덴셜의 중요도는 올라갑니다. 사이버 범죄자들이 이 점을 정확히 간파하려 크리덴셜을 가져가려 하는 것이죠.”

크리덴셜은 어느 시대에나 공격자들이 가장 원하는 디지털 자산이었다. 다만 그것이 코로나를 통해 더욱 노골적으로 변했다는 게 야리의 지적이다. “네크워크 자산 중 사이버 범죄자들이 가장 좋아하는 것은 크리덴셜이라는 사실을 코로나가 크게 외친 것과 다름이 없습니다. 그래서 사이버 범죄 시장에 들어가서 뭘 할지 모르는 자들도 분명히 알게 됐죠. 대신 방어자들도 크리덴셜 보호가 그 무엇보다 중요하다는 걸 다시 한 번 강하게 인지할 수 있게 됐습니다.”

3줄 요약
1. NCR에서 만든 PoS 플랫폼을 블랙캣 랜섬웨어 단체가 감염시킴.
2. 때문에 일부 PoS 플랫폼 고객들이 불편을 겪음.
3. 블랙캣은 크리덴셜 정보만 가져간 것으로 보임.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>