SAP에서 개발한 POS 시스템에서 발견된 취약점
패치하면 안전...다른 개발사 POS 시스템도 비슷한 사정

[보안뉴스 문가용 기자] SAP 등에서 개발한 POS 시스템들에서 치명적인 취약점들이 발견됐다. 이 취약점들을 통해 해커들은 지불카드 정보를 훔칠 수 있을뿐만 아니라 네트워크 전체를 표적으로 하여 공격을 감행해 제품 가격도 마음대로 변경시킬 수 있다고 한다.


이는 SAP 시스템의 보안을 전문적으로 요구하는 이알피스캔(ERPScan)의 연구원들이 SAP for Retail이라는 시스템에서 최근 발견한 것으로, 특히 서버 구성 요소인 엑스프레스 서버(Xpress Server)에는 중요한 기능에 접근하려 할 때 필요한 최소한의 인증과정도 없다고 한다.

이러니 시스템에 대한 접근권을 가진 공격자라면 얼마든지 악성 환경설정 파일을 엑스프레스 서버로 보내 완전한 통제권을 장학할 수 있게 된다고 한다. 완전한 통제권이란 POS 시스템의 프론트엔드와 백엔드 모두를 말한다.

여기까지 도달한 해커라면 수많은 명령을 실행시키는 게 가능해지고, 특정 매장에 위치된 기기를 공격해 지불카드 정보를 훔치고, 가격 조정을 통해 마음대로 특별 할인 행사를 시작할 수도 있게 된다. 가격을 몰래 바꾸고 나서 공격자가 해당 매장에 들어가면 원하는 물건을 보다 싼 가격에 구매하는 것도 가능하다. 혹은 물건을 구매하되, 바로 전 고객의 카드 정보를 통해 지불이 완료되도록 할 수도 있다. 영수증에 찍히는 정보도 바꿀 수 있다.

이 공격을 성공시키려면 표적이 된 네트워크에 접근할 수 있어야 한다. 하지만 이게 크게 어려운 전제조건은 아니다. 시스템 일부는 인터넷에 노출되어 있어 원격 접근도 가능하기 때문이다. 만약 공격하고자 하는 POS 시스템이 인터넷과 분리되어 있다면, 라즈베리파이와 같은 기기를 통해 멀웨어를 심을 수 있다. 매장 내 네트워크에 연결된 기기에 접근하는 게 크게 어려운 일만은 아니기도 하다.

SAP은 포춘이 선정한 2000대 기업 중 80%에 솔루션을 제공하는 업체로, 이알피스캔이 발견한 취약점들에 대한 보고를 일찌감치 받았다. 그리고 지난 7월 정기 보안 업데이트를 통해 문제들을 해결했다. 그러니 이 패치가 완전하지 않다는 점이 추가로 발견되었고, 이에 8월 18일 비정기 패치를 발표하기도 했다.

“패치를 적용하기만 하면 SAP의 POS 시스템도 안전하게 사용할 수 있습니다. SAP과 이알피스캔은 안전한 취약점 공개 및 패치 체제를 갖추고 있어서, 취약점이 발견되거나 하는 게 그다지 큰 문제가 되지 않습니다. 발견하고 고치는 이 순환 구조에 사용자들도 포함되기를 바랍니다.” SAP 측의 설명이다.

이알피스캔은 “이런 문제가 SAP의 POS 시스템에만 있는 게 아니라는 걸 기억해야 한다”고 강조한다. “연구를 진행하다가 오라클의 마이크로스(MICROS) 시스템에서도 같은 문제를 발견했거든요. POS 시스템은 그 구조가 다 비슷비슷해요. 취약점도 비슷비슷할 확률이 높죠.” 이알피스캔의 드미트리 카스투힌(Dmitry Chastuhin)의 설명이다.

“POS 기기에 취약점들이 가득하던 때도 있었습니다. 그래서 각종 사고들이 발생했죠. 그런 일들이 자꾸만 생기고 하나하나 해결하자보니 결국 POS도 조금씩 강력해졌습니다. 하지만 이 POS의 또 다른 끝단에 있는 은행들은 지켜야할 규칙들과 표준이 따로 있었어요. 그러니 POS 시스템과 매장 서버 혹은 본사 서버 사이의 그 영역만 애매하게 약한 채로 남게 된 거죠. SAP의 시스템처럼 기본적인 인증 과정이 없기도 하고요. 이런 점은 모든 POS 시스템에 거의 공통적인 문제입니다.”

보다 기술적인 세부 사항은 여기에서 열람이 가능하다(영문).
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>