UDPoS 멀웨어, 특이하게 오래된 자기 띠 기반 카드 노려
로그미인이라는 유명 원격 관리 서비스 이름 악용해 피해자 속여

[보안뉴스 문가용 기자] 보안 업체 포스포인트(Forcepoint)의 전문가들이 새로운 POS 멀웨어를 발견했다. 이 멀웨어는 로그미인(LogMeIn) 서비스 팩인 것처럼 위장되어 있었고, 지불카드의 자기 띠로부터 데이터를 훔쳐내는 기능을 가지고 있다고 한다.


포스포인트는 이 멀웨어에 UDPoS라는 이름을 붙였다. 또한 일반적인 POS 툴과는 조금 다른 부분이 있다고 전한다. “UDP 기반의 DNS 트래픽을 활용해 훔친 지불카드 정보를 방화벽 너머로 보내기 때문입니다. 새로 등장한 POS 멀웨어를 보는 것도 오랜만입니다.”

최근 전 세계적으로 지불카드의 시스템이 자기 띠에서 칩 카드로 바뀌고 있다. 유로페이와 마스터카드, 비자가 이를 표준으로 채택했기 때문이다. 이 때문에 사이버 범죄자들이 지불카드 정보를 훔쳐낸다는 게 더 어렵게 되었다.

그렇기에 자기 띠 카드에서 정보를 훔쳐내는 UDPoS 멀웨어의 등장은 조금 생경하다. 아직도 자기 띠 카드로부터 뭔가를 훔쳐내는 게 범죄자들의 관심을 끌고 있다는 의미이기 때문이다. 그래서인지 포스포인트의 수석 수사관인 루크 솜머빌(Luke Somerville)은 “UDPoS가 지금도 사용되고 있다는 명확한 증거는 없다”고 설명한다. “하지만 자기 띠에서 뭔가를 훔쳐내는 기능 자체는 뛰어납니다.”

또한 이 멀웨어와 연결되어 있는 C&C 서버의 경우 여전히 활성화 되어 있는 것으로 나타났다. 그래서 솜버빌은 “실제 공격에 활용되는 사례를 발견 못했을 뿐, 사용되고 있거나 사용 준비 중이라는 증거인 듯 하다”고 말한다. “주요 표적은 호텔과 식당의 POS 시스템이 아닐까 합니다.”

UDPoS가 겨냥하고 있는 건 윈도우 기반 시스템들이다. “오래된 POS 시스템은 대부분 윈도우 XP를 기반으로 하고 있어요. 아직 POS 단말기를 업데이트하지 않은 매장이라면 충분히 당할 가능성이 높죠. 게다가 자기 띠를 노리는 멀웨어라는 걸 생각해보면, 노골적으로 오래된 기기들만을 표적으로 할 수도 있습니다.”

포스포인트는 로그미인 서비스 패키지에서 비정상적인 DNS 요청이 발생하는 것을 목격했다. 분석을 통해 원격의 C&C 서버와 연결되어 있는 걸 발견할 수 있었다고 한다. 솜머빌을 로그미인의 원격 접근 서비스나 제품 자체가 공격당했다는 증거를 발견할 수는 없었다고 말한다. “UDPoS를 만든 공격자들은 그냥 브랜드 이름만 사용하는 거 같았습니다. 피해자들을 속이기 위해서죠.”

포스포인트는 아직 멀웨어가 어떤 식으로 감염되는지 파악 중에 있다. 하지만 하고 많은 브랜드 중 로그미인을 사용하고 있다는 사실이 ‘우연’이나 ‘랜덤’은 아니라고 보고 있다. “로그미인을 사용하는 매장이나 기업은 굉장히 많습니다. POS 단말을 원격에서 관리하기 위해서죠. 아마 로그미인 소프트웨어 업데이트 파일인 것처럼 위장해 기기를 감염시키는 것이 아닐까 합니다.”

로그미인도 이번 주 이 사안에 대한 권고 사항을 고객들에게 발송했다. “로그미인의 자체 분석 결과 이번에 문제가 되고 있는 멀웨어는 로그미인의 이름에 대한 사용자들의 신뢰를 악용하는 것으로 보입니다. 악성 이메일이나 링크, 파일이 로그미인의 이름으로 배포될 수 있으니 유의하시기 바랍니다.”

또한 로그미인은 정책 상 첨부파일이나 링크를 통해 소프트웨어를 업데이트 하지 않는다는 사실을 강조했다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>