디지털포렌식산업포럼...사이버 범죄사례 통한 정보보호 대책 논의

[보안뉴스 김태형] 디지털포렌식산업포럼(회장 조근호)은 16일 서울 삼성동 그랜드인터컨티넨탈 호텔에서 ‘2014년 제17회 디지털포렌식산업포럼 조찬 세미나’를 개최했다. 이날 세미나에서는 날로 지능화·다양화 되고 있는 사이버 범죄와 관련해서 ‘사이버범죄 수사사례를 통해 본 정보보호 대책’이란 주제로 진행됐다.

▲ 김진환 사이버범죄대응수사관은 16일 개최된 디지털포렌식산업포럼에서 “해커는 악성 프로그램을 제작해 포스 시스템 관리업체의 업데이트 서버에 악성프로그램을 심어놓고 각 가맹점의 포스단말기를 감염시켜 이용자들의 신용카드 정보를 수집했다”고 설명했다.

최근 심각성을 더해가고 있는 사이버범죄와 사이버위협에 따른 기업들의 대응역량 강화와 정보보호 대책 마련을 위해 개최된 ‘제17회 디지털포렌식산업포럼 조찬세미나’는 조근호 행복마루 법률사무소 대표변호사를 비롯해 최성진 법무법인 세종 변호사(전 대검 과학수사기획관), 노병규 KISA 정보보호본부장, 정점영 서울지방경찰청 산업기술유출 수사팀장, 윤덕상 KTDS 정보보안센터장, 이상진 고려대 교수, 정수환 숭실대 교수, 최진혁 경찰대 교수, 이찬우 더존정보보호서비스 대표 등 산·학·연 관계자 약 40여명이 참석했다.

이날 포럼에서 김진환 경찰청 사이버안전국 사이버범죄대응수사관은 ‘사이버범죄 최신 수사사례’를 발표했다. 올 상반기 검거한 포스단말기 해킹 사건과 관련해서 그는 “포스 시스템 제조사들이 대부분 영세하고 시스템도 규격화 되지 않아서 문제가 되고 있다”고 지적하면서 “이번 사건은 공격자가 식당, 주유소, 커피숍 등 85개 가맹점 신용카드 결제 단말기를 해킹해 38만건의 카드 정보를 수집·유출한 사건으로 이를 통해 범인들은 복제카드를 만들어 국내외에서 1억 2천만원의 현금을 인출했다”고 설명했다.

해커는 악성프로그램을 제작해 포스 시스템 관리업체의 업데이트 서버에 악성프로그램을 심어놓고 이를 통해 각 가맹점의 포스단말기를 감염시켜 이용자들의 신용카드 정보를 수집했다. 특히, 이들은 신용카드 정보뿐만 아니라 결제 시 이용하는 별도의 포인트 적립카드 정보도 빼내 이들을 조합해서 현금을 인출했다. 이들은 이러한 카드정보를 매매하기도 했다. 이번 사건에서 적립카드를 이용한 이용자들만 피해를 입은 이유도 이 때문이다.

김진환 수사관은 “이처럼 최근 신용카드 도용사고가 다수 발생하고 있다. 근본적인 문제 해결이 없다면 앞으로도 이러한 사고는 지속적으로 발생할 수 있다”고 덧붙였다.

이어서 그는 “이번 사건의 특징을 보면, 도용된 카드로 결제가 아닌 현금을 인출했다. 이는 국내뿐만 아니라 해외에서도 발생했으며 현금 인출 일시와 장소가 거의 일치했고 마그네틱 카드로 현금인출이 가능한 자동화기기(ATM)를 사용했다”면서 “현금인출 시에는 비밀번호가 필요한데 이는 앞서 말한 바와 같이 신용카드 정보와 적립카드 정보를 조합해 사용한 것으로 분석된다”고 설명했다.

이번 사건은 특정 신용카드뿐만 아니라 모든 카드에서 발생했기 때문에 신용카드 정보유출로 착오를 일으켰지만 피해 신용카드 거래내역을 분석결과, 결제한 가맹점이 동일하게 나왔고 이 포스 시스템들이 악성코드에 감염됐다는 점에서 포스 시스템의 문제로 확인됐다.

이에 경찰은 전국 카드 가맹점 포스 단말기의 샘플링을 통해 증거를 확보했으며 악성프로그램을 분석한 결과, 키로깅·원격제어 기능이 포함되어 있음을 확인했다. 그리고 포스단말기에는 일자별로 로깅 파일 및 트래픽이 저장되어 있었고, 비밀번호도 파일로 저장되어 있었다.

카드의 마그네틱 정보에는 보통 3개의 트랙으로 나누어져 있는데 트랙1에는 사용자 정보, 은행계좌 정보 등 기본정보가 저장되어 있고 트랙2에는 카드번호, 유효기간, 서비스코드, CVC정보 등 민감정보가 저장되어 있다.

때문에 카드 복제 시에는 트랙2의 정보만 필요하다. 이렇게 복제된 신용카드 비밀번호 유출을 통해 제휴포인트 카드에 포인트를 적립한 사용자만 피해를 봤다는 것. 포인트 카드 적립시 비밀번호를 입력하는데 이 때 정보를 가져가서 복제한 신용카드의 비밀번호를 조합해 현금 인출이 가능했던 것으로 분석했다.

김 수사관은 “포스 시스템의 정보를 수집한 서버를 분석한 결과, 피의자 정보를 일부 발견할 수 있었다. 엑셀파일이었는데 이는 해커가 자기 PC를 이용해 테스트한 정보였는데 여기에 만든 사람과 회사이름 등이 나와 있고 IP 등을 통해 피의자를 특정하고 검거하는데 도움이 됐다”면서 “이들 통해 ATM기 출금내역과 CCTV 등을 통해 확인하고 안산지역에서 피의자 주범 1명을 검거해 카드 복제기 등을 압수했으며 캄보디아 경찰과 공조해 다른 범인들도 검거했다”고 설명했다.

이어서 그는 “금감원에서 마그네틱 카드를 IC카드로 전환하겠다는 정책을 추진하고 있지만 아직 100% 전환이 이뤄지지 않아 이와 같은 사고가 발생하고 있다”면서 “모든 카드를 IC카드로 전환하는 정책이 빨리 마무리 된다면 이 같은 사고는 예방이 가능하다”고 강조했다.

특히, 그는 “포스 시스템은 폐쇄망이 아닌 일반 상용망을 사용하기 때문에 영업외 시간에 가맹점주들이 인터넷이나 온라인 쇼핑을 하는데 사용하고 있어 항상 보안위협에 노출되어 있다. 이렇듯 포스 시스템으로 인터넷에 접속하는 일은 매우 위험한 일”라고 덧붙였다.

이어서 이동근 KISA 침해사고조사팀 팀장은 ‘최근 해킹 동향과 정보감사의 필요성’을 주제로 발표를 진행했다. 이동근 팀장은 “최근 필요한 공격대상을 필터링해서 공격하는 ‘웹 기반 선별 해킹공격’과 ‘이메일을 악용한 타깃공격’, 또 ‘RAT(Remote Access Trojan)를 악용한 원격제어 해킹공격’ 등이 증가하고 있다. 하지만 이들 공격은 방어하기가 매우 어렵다”면서 “효과적인 보안을 위해서 이제는 통제중심의 보안에서 관리중심의 보안으로 정보보호 패러다임의 변화가 필요하다”고 설명했다.

즉 기업 내의 정보가 어떤 것들이 존재며 어떤 형태로 활용되고 유통되고 보관되는지, 또 누가 정보를 소유하고 어떤 정보가 유출되고 파기되었는지 등을 파악하고 이러한 정보의 라이프사이클에 따른 정보감사, 즉 포렌식 기반의 정보감사를 통한 보안관리가 중요하다는 것.

이를 위해 KISA는 ‘기업 및 기관 정보감사 활성화’를 추진할 계획이다. 올해 10월부터 11월까지 기업이나 기관 2~3곳을 대상으로 정보감사를 시범 적용하며 올해 12월말에는 정보관리 및 정보감사 가이드라인 2종을 개발한다는 계획이다.

이 팀장은 “이번 정보감사에는 인력 및 영업비밀 유출 조사에 초점을 두고 시나리오별 조사를 위한 디지털 포렌식을 활용한 ‘정보유출 감사’와 협력사에 전달하는 ‘협력사 정보보호수준 감사’ 등으로 구분되어 진행될 예정”이라고 밝혔다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>