좀비PC 1대에 벼랑끝에 몰린 대형 유통사

전상훈

미국 대형 유통 업체 타깃에서 벌어진 대규모 정보유출과 관련한 배상 금액을 보고 있으니 국내와는 상황이 달라도 많이 달라 보인다.

유출된 카드 정보 4천만건에 대해 배상 금액을 건당 90달러로 추정할때 타깃이 지급해야할 배상 비용은 36억달러에 달할 것으로 예상되고 있다.

그러나 건당 90달러도 카드회사가 물어야할 최소한의 벌금이라는 점과 카드 정보외에 개인정보가 7천만건 이상 유출된 점을 감안하면 피해 금액은 상상을 넘을 수도 있다. 이 사건이 내부에 침입한 악성코드 하나로 시작된 것을 감안하면 실로 엄청난 파장을 불러왔다고 할 수 있다.

이와 함께 한국에서의 일어난 개인정보 유출 사례와 비교했을대 해당 업체에 대한 처벌이 급이 다르게 이뤄지고 있다는 것도 실감하게 된다.

해외 업체인 타깃에서 벌어진 4천만건 이상의 카드 정보 유출은 의미있는 시사점을 던진다. 2014년 1월 국내에서 보도된 1억건이 넘은 대규모 금융정보 유출의 경우 내부 시스템에 접근이 가능한 외부자에 의해 발생된 정보유출 사례다.

그러나 타깃의 경우 내부 운영 시스템인 POS 단말기에 침입한 악성코드가 카드 관련 정보 및 신상 정보를 탈취해 정보를 유출한 사례라는 점에서 예의주시할 필요가 있다.

타깃을 통해 유출된 정보는 처음에는 4천만건에 달하는 카드 정보인 것을 발표됐지만 추가 확인 결과 카드 정보외에 개인정보 7천만건도 털린 것으로 확인됐다. 분석 결과 그동안 밝혀지지 않은 심각한 내용들과 기술적인 문제들이 확인되고 있는 상황이다.

외신에 따르면 러시아 해커에 의해 제작된 공격 도구들이 타깃을 상대로한 공격에 이용됐음이 확인되고 있다. 타깃이 미국에서 운영중인 1천797개 매장에서 쓰는 POS 기계 대부분인 4만여대가 악성코드에 감염되어 정보 유출이 이용됐다. 사실상 공격자는 모든 정보 입력 기계에 대한 완벽한 제어권한을 갖고 있었던 것이다.

맥아피에 의해 공개된 기술적분석을 살펴보면 대부분의 POS 기계들이 윈도 운영체제를 사용하고 있었고, 내부망을 감시하는 보안도구나 이상증세를 관찰하는 모니터링은 전혀 없었음을 알 수 있다.

공격자는 POS 상에서 사용자가 카드를 긁는 거래가 발생되는 순간 관련 거래 내역을 탈취하여 별도 파일로 저장하도록 했다. 누적된 정보들은 주기적으로 내부 파일공유나 FTP를 통해 특정 지점으로 모아지도록 되어 있었다. 그렇게 누적된 데이터들을 공격자들이 한꺼번에 들고간 것이 타깃에서 벌어진 해킹에 대한 요약이라 할 수 있다.

델 시큐어웍스와 시만텍 리포트 및 크레브슨 시큐리티 저널에 언급된 내용을 살펴보면 타깃 사건에는 한국에서 벌어진 3.20 대란과 유사한 방식이 사용되었을 것으로 추정하는 분석들도 있다.

분석 내용에 따르면 타깃에 있는 모든 POS 시스템들은 윈도 쉐어(Window Share)가 활성화되어 있었고 카드 정보를 한 곳으로 모으는데 이용된 계정은 Best1_user 이고 패스워드는 BackupU$r였다고 한다. Best1_user 계정은 BMC 성능 관리 소프트웨어에서 사용되는 것으로 알려졌다.

악성코드 배포 역할을 한 것으로 의심되는 것은 MS SCCM (System Center Configuration Manager) 프로그램으로 추정된다. 현재 MS에서 타깃 IT 인프라 구조에 대한 사례 구성은 사라졌으나 SCCM 프로그램이 전체 POS 장비 성능을 관리하는 형태였을 것이다. 내부에 좀비 PC 확보한 이후 주요 소프트웨어나 서비스에 대한 SQL 인젝션(Injection) 공격을 통해 관련 정보와 권한을 획득했을 것으로 추정하는 내용도 확인 할 수 있다.

결론적으로 위에 언급한 분석 내용들을 보면 소매점 한 곳에 타깃화된 메일 등으로 침입 또는 직접 공격을 통해 권한 획득을 한 이후 내부에 있는 중요 관리 소프트웨어에 대한 공격들이 있었을 가능성이 매우 높았을 것으로 추정된다.

BMC 성능 관리 소프트웨어에 대한 공격으로 계정 정보를 획득하고 MS SCCM 프로그램의 전체 연결 구조를 이용하여 전체 POS에 일괄적으로 악성코드를 배포한다. 그 이후 획득한 계정정보를 이용하여 한 곳으로 전체 데이터를 모으도록 하는 것이다.

일정 시점 이후에 모아진 데이터를 들고 러시아로 옮기는 것이 최종 목표였다. 이 과정에서 어떤 모니터링 및 경고도 발생되지 않았고 모두 사건 이후에 잔뜩 남겨진 로그와 기록들을 기반으로 분석 하는 것을 볼 수 있다. 내부망에는 위험을 관찰할 체제들도 단지 '분리된 망'이라는 이유로 거의 없었다는 것을 알 수 있다.

망분리를 통해 보안성을 확보하고자 하는 많은 기업 및 기관들도 위험에 대해서 살펴 보아야 할 부분들일 것이다.

타깃에서 벌어진 대량 정보유출에서 우리는 몇 가지 교훈을 얻을 수 있다.

1. 내부망 (사설IP)에서의 보호방안은 거의 없었다. – 망분리를 중점대책으로 위험을 제거하려는 우리의 입장에서는 고민해야될 부분이다.

2. 사설IP 대역에 존재하는 4만여대에 달하는 POS 기계의 운영체제가 감염되는 동안 전혀 인지를 하지 못했다.

3. 초기 침입은 외부와 연결된 망을 통해서 이뤄졌을 것이나 초기 침입이 어디에서부터 시작되었는지는 분석이 안되고 있다.

4. 결론적으로 내부망에 대한 감시체계와 외부와 연결된 접점에 대한 강력한 통제에 실패했다는 점을 꼽을 수 있다.

외부와의 연결이 분리된 망에서는 분리된 것 자체가 강력한 대책으로 인식할 수 밖에 없다. 강력한 대책인 망분리가 됐을때도 전제되어야 하는 것은 작은 가능성일지라도 내부로 유입된 악성코드가 있을 경우에 대한 대책이 무엇이냐 하는 것이다.

타깃의 POS 기계 감염에 이용된 악성코드의 경우도 초기 감염시에 주요 백신의 탐지를 우회하여 감염된 정황이 확인된 바 있다.

내부로 유입된 악성코드가 무방비로 노출된 주변 시스템을 감염시키고 확산을 하는 중에도 모니터링 및 관찰할 수 있는 도구와 체계가 없었기에 타깃에서 운영하는 대부분의 POS 시스템에 감염이 된 상태조차 인지하지 못한 것이다.

정보를 전송하는 단계에서는 암호화가 적용될 수 있으나 기록되는 단계에서는 평문으로 기록될 수 밖에 없다. 악성코드들은 POS 시스템에서 입력되는 모든 카드정보와 개인정보를 그대로 수집해 특정 위치로 옮겨둔 후 한번에 모두 가져간 것이 사건의 전말이다.

한국은 과연 문제가 없다고 할 수 있을까?

2013년 8월말 국내를 대상으로 웹을 통한 악성코드 감염 시도를 여러 차례 시행한 공격자들을 역으로 추적한 결과 한국도 안심할 수 없는 상황이다. 여러 정보들이 확인 되었지만 POS에 관련된 문제로만 국한해 보면 타깃의 사례는 지금 당장 국내에 발생한다 해도 어색하지 않을 것이다.

공격자가 운영하는 C&C (원격제어 서버) 서버에서는 단 일주일간의 로그 기록이 남아 있었는데 그 로그 기록에는 공인 IP만 2만여 개 이상이 존재했음이 확인되었다. 공인 IP만 2만여 개 이상이라는 것은 2만여 곳 이상의 기업/기관 내에 감염된 좀비 PC들이 존재하였음을 의미한다.

단 한대의 감염된 좀비 PC가 3.20 대란의 시발점이 되었으며, 단 한대의 감염된 좀비 PC가 거대 유통사인 타깃을 벼랑으로 몰아가는 시점에서 과연 우리는 좀비 PC들에 대한 대응과 감염예방에 대해 어떤 노력을 기울이고 있을까?

메일을 통한 악성파일 감염은 현재 기술로도 충분한 해결 방안을 만들 수 있을 것이다. 또 메일이 몇 분 늦어진다고 항의하지도 않는 상황에서는 해결 하기에는 더욱 어려움이 없을 것이다. 그러나 웹은 어떻게 해야 할까?