미국 대형유통업체 타깃의 POS시스템 해킹 사고 이후에도 신용정보를 노린 공격이 지속되고 있다. 최근 공격자들은 '1234'와 같은 허술한 관리자용 비밀번호를 사용하고 있는 시스템에 군침을 흘리고 있다.
9일(현지시간) 영국 더레지스터에 따르면 윈도 운영체제(OS) 기반 봇넷(좀비PC네트워크)이 POS시스템 서버에 접속해 무차별 대입 공격으로 비밀번호를 탈취하고 있는 것으로 나타났다.
사이버 위협 인텔리전스 회사인 인텔크롤러는 사이버 범죄자들이 운영하는 포럼이 5월부터 '@-Brt' 프로젝트가 진행하고 있다고 밝혔다. 이 프로젝트는 악성코드가 POS시스템 및 관련 서버 등에 대해 관리자용 비밀번호를 알아내기 위해 무작위로 숫자, 문자 조합을 입력해 알아내는 수법을 썼다.
특정 기업/기관을 겨냥하기보다는 서브넷IP 범위에 따라, 공통적으로 사용되는 운영자, 관리자 등의 로그인 정보를 탈취한다. 이들 대부분이 제조사가 설정한 기본 비밀번호를 사용하고 있는 탓에 정보가 유출될 가능성이 높다.
공격자들이 악용한 핵심 전략은 봇넷으로 원격데스크톱프로토콜(RDP) 서버에 접속해 비밀번호를 찾아내는 방법이다. 권한이 탈취된 POS시스템에서는 악성코드가 신용카드 입력 상세 정보를 훔쳐낼 수 있게 된다.
이들은 일부 POS 제조사들이 공개하고 있는 기본설정(default)된 비밀번호 정보를 악용한다. '12345', 'aaaaa' 등이 공장에서 출고된 제품의 첫 비밀번호이나 이를 바꾸지 않고 계속 쓰고 있어 문제가 될 수 있다는 설명이다.
인텔크롤러는 @-Brt 봇넷이 특정 TCP 포트에서 다양한 IPv4 네트워크 범위를 특정해 원격관리프로토콜로 사용되는 가상네트워크컴퓨팅(VNC), 마이크로소프트(MS)가 제공하는 RDP, 원격제어툴인 PC애니웨어 등에 접속해 악성코드를 배포할 수 있도록 한다고 말했다.
관련기사
- 국내 POS단말기 해킹 주범 캄보디아서 검거2014.07.10
- POS 단말 ‘해킹·정보유출’ 예방책 나왔다2014.07.10
- 펜타시큐리티, POS 암호화 솔루션 출시2014.07.10
- POS단말기서 빼낸 정보로 현금 인출한 일당 검거2014.07.10
인텔크롤러 보안전문가들은 봇넷에 침투해 분석해 본 결과 대부분 탈취된 POS단말기들이 알기 쉽거나 제조사가 제공한 기본 비밀번호 등을 사용하고 있는 것으로 나타났다.
조사 결과에 따르면 'aloha12345(13%)', 'micros(10%)', 'pos12345(8%)', 'posadmin(7.5%)','javapos(6.3%)' 순으로 나타났다.
