카드 정보 훔쳐내는 새로운 동유럽발 봇넷 발견

최신 기술 사용하는 대신 사용자들의 게으른 습관 노려

[보안뉴스 문가용] 사이버 공격이라는 말이 땅을 일구며 사는 사람들 귀에도 박힐 정도로 꾸준하고 연속적으로 각종 헤드라인을 장식하고 있다. 말 그대로 속수무책. 그런 가운데 새로운 봇넷이 등장하여 민간 상업에 대한 위협에 박차를 가하고 있다. 보안 전문 업체 파이어아이(FireEye)가 발견한 이 봇넷의 이름은 브룻포스(BrutPOS)로 판매 시스템의 원격 관리 소프트웨어를 찾아내어 공략하는 기능을 수행한다.

공격자들은 암호 설정을 허술하게 하거나 원격 데스크탑 프로토콜을 느슨하게 적용하는 곳을 노려 지불에 사용되는 카드 정보를 활성화된 POS 터미널 등 결제 정보가 저장된 곳으로부터 빼돌린 것으로 밝혀졌다.

파이어아이는 다섯 개의 브룻포스 C&C 서버를 적발하는 데에 성공했다. 그 중 세 개는 현재 비활성화 되어 있다. 나머지 두 개는 러시아에 있으며 5월 말에서 6월 초부터 활동을 시작한 것으로 알려졌다. 파이어아이 측은 브룻포스의 배후 세력들은 동유럽에 퍼져있는 것으로 보고 있다. 우크라이나와 러시아가 가장 유력한 후보지다.

이 봇넷은 2월부터 활동을 시작했다. 가장 최근 집계한 바에 따르면 브룻포스 봇넷은 119개국에 걸친 5,622개의 봇으로 이루어져 있다. 가장 많은 봇을 보유하고 있는 나라는 러시아(15.67%)이며 그 뒤를 인도(13.45%), 베트남(7.51%), 이란(6.07%), 대만(4.13%)이 따르고 있다. 이 봇들은 한 번에 소수만이 작동하는 방식으로 운영되고 있다.

봇들은 지불 관련 시스템의 원격 관리 소프트웨어가 취약하게 설정된 POS 원격 IP 주소의 범위를 조사한다. “재미있는 건 멀웨어가 특정 ‘소프트웨어’를 사용하고 있는 게 아니라 원격 데스크탑 프로토콜을 사용하고 있더라고요.” 파이어아이의 CSO인 조슈아 골드팝(Joshua Goldfarb) 씨의 설명이다. “공식 프로토콜을 악용 혹은 오용하고 있는 것입니다.”

해커들은 이런 식으로 2주 만에 60개의 결제 시스템을 공격해 정보를 탈취했다. 그 중 51개는 미국에 있는 것으로 밝혀졌다. 가장 빈번한 사용자 이름은 ‘administrator’였고 가장 빈번한 암호는 ‘pos’와 ‘Password1’이었다. 이렇게 관리자 계정을 탈취한 공격자들은 지불 터미널로부터 카드 정보를 빼내는 프로그램을 설치해 정보를 C&C 서버로 옮겼다.

골드팝 씨는 브룻포스를 사용하는 공격자들이 전혀 새로운 방법으로 정보를 빼낸 것이 아니라 10~20년 전부터 가장 기본적으로 강조되던 보안 수칙을 아직도 무시하고 있는 ‘인식의 틈’을 노렸을 뿐이라고 강조했다. “이번 사건에서 해커들은 오히려 굉장히 게으른 방법을 사용했다고 봐도 무방합니다. 하지만 이들은 성공했죠. 게을러도 성공하는 공격이라면, 이건 피해자가 방어에 게을렀다고 봐도 되는 겁니다.”

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>