• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

작년 9월에 나타난 센터포스 멀웨어, 업데이트돼 2016.01.29

환경설정 파일 생성하는 추가 기능 새로 탑재해 등장
사회 체제 일부 변화하는 그 환절기 노린 중대 ‘반칙’

[보안뉴스 문가용] 미국은 아직까지도 자기띠 방식에서 EMV 방식으로 옮겨가느라 한창이다. 신용카드 사기를 막기 위한 국가 차원의 중대한 결정이었다. 그러나 신용카드 사기는 어디까지나 수많은 범죄의 유형 중 하나였을 뿐, 모든 카드 관련 범죄를 막는 건 아니었다. 오히려 범죄인들의 시각을 다른 데로 돌리는 데 일조한 것일지도 모른다. 그 중 하나가 POS를 공격하는, 이른바 POS 멀웨어였다.


POS 멀웨어를 이용한 범죄를 부추기고 권장하기 위한 툴도 시장에 등장했으니 바로 센터포스(CenterPOS)다. 지난 9월에 처음 등장했고 신용카드 및 현금카드의 데이터를 POS 시스템으로부터 훔쳐내게끔 설계된 툴이었다.

보안 전문업체인 파이어아이(FireEye)는 최근 이 센터포스의 업데이트된 버전을 발견했다. 오리지널 버전과 기능성은 매우 흡사하지만 추가로 도입된 기능도 눈에 띈다고 한다. 그중 단연 돋보이는 건 C&C 서버에 정보를 저장하기 위한 설정파일을 페이로드 단계에서부터 만들어내는 기능이었다.

센터포스가 실행될 때 가장 먼저 하는 일은 C&C 정보가 담긴 설정파일을 탐색하는 것이다. 탐색 후 발견에 실패했다면 대화상자를 열어 암호를 입력하라는 메시지를 띄운다. “암호가 올바르게 입력됐다면 공격자가 C&C 정보를 입력할 수 있도록 해주는 대화상자가 뜹니다. 이 대화상자에는 설정파일을 암호화하기 위한 암호를 입력하라는 내용도 포함되어 있고요.” 이 설정파일의 악용이 가장 커다란 새 기능인 것.

이 추가 기능이 그렇게 치명적인 걸까? 이 물음에 파이어아이 최고 첩보분석가인 나트 빌레뉴브(Nart Villeneuve)는 “해커들이 C&C 서버와 통신하는 게 훨씬 쉽고 간단해진다”고 답한다. “흔히 볼 수 없는 기능입니다. 멀웨어 툴에는 일반적으로 ‘빌더(builder)’라고 하는 독립 요소가 있는데, 이 빌더라는 건 C&C 정보가 들어있는 페이로드를 만드는 데에 사용됩니다.” 감염시킨 시스템의 보안 관련 툴이 C&C 서버로의 통신을 막았을 때 특히 유용해지죠.“

C&C 정보를 저장해두기에도 설정파일이 매우 요긴하다하고 빌레뉴브는 주장한다. 공격을 감행한 후 이 설정파일을 지우기만 하면 멀웨어의 활동 내역을 완전히 삭제할 수 있기 때문이다. 또한 C&C 데이터를 따로 보관하기 때문에 혹여 여러 보안 장치 및 전문가에 의해 실행파일이 발견되었을 경우 공격자에게 있어 민감하거나 중요한 정보를 숨길 수도 있다. “일부러 신경 쓰지 않는 이상 수사팀들이 설정파일들까지 일일이 들춰보지는 않죠.”

또 센터포스는 ‘스마트 스캔(smart scan)’ 모드와 노멀 모드라는 걸 활용해 시스템에서 처리되고 있는 카드 정보를 찾아 나서기도 한다. 설정파일 내에서 제공되는 암호화 키를 활용하는 TripleDES라는 암호화 기법을 통해 센터포스가 찾고 있는 것과 맞아떨어지는 모든 데이터를 암호화한다. 이것이 스마트 스캔이라면 또한 평범하게 수집된 데이터를 전부 서버로 전송하기도 한다.

센터포스와 같은 악성 소프트웨어는 EVM 방식의 거래에서는 잘 통하지 않는다는 게 빌레뉴브의 설명이다. EMV 방식의 카드에 삽입되어 있는 마이크로칩은 자체적으로 고유 코드를 거래 시마다 생성하기 때문이다. POS 내에 저장된 데이터를 아무리 훔쳐봤자 헛수고가 된다는 뜻.

다만 센터포스가 아직도 위협적인 건 아직 미국 전국이 EMV로 체제전환을 해내지 못하고 있기 때문이다. 공식적으로는 이미 작년 10월에 다 마쳤어야 하지만, 소비자나 매장이나 일괄적으로 새로운 것을 도입하지 못하고 말았다. 실제 지금도 많은 매장에서는 자기띠 방식과 EMV 방식을 모두 받고 있다. EMV로 바꾸고도 사업적인 이유 때문에 전혀 그 이점을 살리지 못하고 있는 상황인 것이다.

“결국 사이버 범죄자들이 악질적인 건, 이런 사회 시스템의 어쩔 수 없는 약점들을 파고들기 때문이에요. 단지 기술력이 좋고, 컴퓨터를 잘 하고, 머리가 좋고 나쁘고 하는 문제가 아니에요. 인간 본성과 사회 시스템 저변에 깔린 태생적인 약점들을 파고드는 겁니다. 이건 반칙이죠. 사람이기 때문에 실수하고, 많은 사람이 구성하고 있는 사회이기 때문에 일괄적인 변화를 한 번에 적용할 수 없다는 어쩔 수 없는 약점을 이렇게 악용한다는 건 단순히 나쁘다는 개념을 넘어서는 겁니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>