보안 업체, 삼성 POS 기기로 해킹 성공... 삼성 공식 입장 없어
대부분 설정 및 설계 오류, 조금만 바꿔도 위험 크게 줄일 수 있어

[보안뉴스 문가용] 자기 띠 리더들은 정말 ‘아낌없이 주는 나무’다. 안 좋은 의미에서 말이다. 최근 보안 전문업체 라피드7(Rapid7)은 자기 띠 기술이 도입된 POS 시스템이나 호텔 열쇠들을 브루트포스 기법으로 공격하는 법을 선보였다.


라피드7의 웨스턴 베커(Weston Becker)는 “윈도우에 기반을 둔 자기 띠 유형의 POS 시스템에 OS 명령들을 주입시키는 게 가능하다”고 설명하며 “자기 띠 리더들은 범용 기기로 설정이 되는 게 일반적인데, 그렇기 때문에 명령어를 주입하는 것에 성공하면 창도 열고, 레지스터도 열고, 멀웨어도 다운로드 받고 설치도 할 수 있게 된다”며 그 위험성을 먼저 밝혔다.

이처럼 전자기장으로 프로그래밍이 가능한 기기의 경우 해커에겐 수많은 옵션이 주어진다. 위 설명처럼 레지스터를 수시로 열고 닫는 것은 물론, 컴퓨터 창을 열고 아무 프로그램이나 다운로드 받아 설치까지 할 수 있기 때문이다. “어떻게 해서든 캐시어나 현금 담당자의 시선을 잠깐만 다른 곳으로 끌면 됩니다. 아주 빠르게 공격을 성공시킬 수 있거든요.”

결국 키보드를 하나 더 갖게 되는 것이나 다름없다. “노출된 USB 포트를 겨냥한 러버더키(rubber ducky) 공격을 알고 있다면, 이런 식으로 ‘가상의 키보드’나 다름없는 결과물을 만들어 공격하는 것이 얼마나 위험한지 이해할 수 있을 겁니다.” 이에 해당하는 건 단지 자기 띠 카드리더기만이 아니다. 호텔 열쇠, 주유카드 리더, 특수한 경우의 엘리베이터 카드 리더기 모두 같은 위험에 노출되어 있다.

라피드7이 이번 프로젝트에 사용한 기기는 삼성의 POS 제품이었으며, 이미 삼성측에 해당 취약점에 대해 알린 상태다. “하지만 모든 POS 브랜드 및 기기들이 전부 이 취약점에 노출되어 있다고 보면 됩니다. 브랜드가 달라도 사실 POS 기기들은 다 똑같다고 말할 수 있거든요.” 하지만 아직 삼성측에서는 공식 답장이 없는 상태다. “지금쯤 내부적인 실험을 진행 중일 겁니다.”

라피드7은 크게 두 곳이 픽스되어야 한다고 말한다. 하나는 자기 띠 리더가 ‘키보드’ 역할을 하지 못하도록 하는 건데, 이는 새로운 드라이버 정의(driver definition)로 충분히 해결이 가능하다고 한다. 나머지 하나는 POS 리더 기기들에 특정 명령들을 주입하는 게 가능하므로 ‘처리 가능한 데이터’의 유형을 줄이는 것이다.

“신용카드 정보는 ASCII이죠. 뭐, 더 새로울 게 없어요. 그런데 여기에 조금만 조작을 더 하면 키보드의 키스트로크 정보를 넣을 수 있게 되는데, 애초에 설정이 이해가 안 가는 부분입니다. 이 기기를 통해 처리가 가능한 정보 자체를 한정시켜야 합니다. 결국 설계 단계에서부터의 오류라고 볼 수 있습니다.”

호텔 자기 띠 카드를 브루트포스 공격하는 것 역시 매우 간단한 일이다. “여기에 담긴 데이터는 암호화되지 않은 채 보관되어 있거든요.” 해커가 자기 띠 호텔 카드를 손에 넣었다면 체크인과 관련이 있는 폴리오 번호(folio number)를 찾게 될 텐데, 이 폴리오 번호는 보통 규칙적으로 커지는 숫자 행렬의 유형이다. 123456, 123457, 123458... 이런 식인 것.

이 역시 간단한 방법으로 수정이 가능하다. “일단 수가 규칙적으로 늘어나지 않도록, 랜덤화를 적용하고 데이터 필드 숫자를 여섯 자리보다 더 크게 늘리면 됩니다. 이렇게만 해도 브루트포스 공격이 빠른 시간 안에 성공할 수가 없습니다. 심지어 암호화 카드를 따로 사는 비싼 투자를 할 필요도 없죠. 물론 암호화는 조만간 전부에게 보급될 것으로 보입니다. 하지만 아직은 비싼 기술일 뿐입니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>