본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

POS 단말기 통한 금융·개인정보 유출 사태, 악성코드 '고스트렛' 소행

보안공지 2020-06-17



안녕하세요? 이스트시큐리티입니다.


금일(6/16)자 기사를 통해 사상 최대 규모의 금융정보 유출 사건이 언론에 공개되었습니다.


무려 1.5테라바이트(TB) 분량의 신용·체크카드 각종 정보와 은행계좌번호, 주민등록번호, 휴대전화번호 등 금융·개인 정보가 유출된 사건인데요, 해당 사건을 수사해 온 서울지방경찰청 보안수사대가 지난 3월 이스트시큐리티에 공식 협조 요청을 전달해 왔고, 최근 3개월 간 이스트시큐리티 시큐리티대응센터(ESRC)에서 이 사건에 대한 분석 작업을 수행해왔니다.


이스트시큐리티의 분석 결과, 1.5테라바이트(TB) 용량의 외장하드에서 발견된 각종 금융·개인정보는 중국산 원격제어 악성코드 '고스트렛(Gh0stRAT)'으로 카드 결제기 포스(POS) 단말기를 공격해 유출된 것으로 확인되었습니다. 


'고스트렛'은 단말기 내 업그레이드 기능을 악성코드로 바꿔치기 하는 이른바 '공급망 공격' 수법으로 단숨에 대량의 정보를 탈취할 수 있었습니다. 사전에 포스 단말기 내 프로그램에 침투해 특정 설정 파일을 조작한 다음, 이용자가 단말기의 정상적 업데이트 기능을 시행하려고 할 때 고스트렛 기반의 악성 프로그램이 설치되는 방식입니다.


한편, 이스트시큐리티 시큐리티대응센터(ESRC)의 문종현 센터장은 지난해, '사이버위협 인텔리전스 네트워크'에 참여해 공급망 공격의 위험성을 강조한 바가 있습니다. 



중국에서 만들어진 것으로 알려진 '고스트렛'은 한 번 설치되면 모든 권한이 해커에게 넘어가는 원격제어 악성코드입니다. 해커는 '고스트렛'을 설치한 전국 포스 단말기를 통해 카드 정보를 수집한 것으로 파악됩니다. 


특히 해커가 사용한 '고스트렛'은 사용자가 스스로 만드는 'DIY'(Do it yourself) 버전이었는데요. 이에 문 센터장은 "해커가 만든 해킹 프로그램으로 중고급 이상의 전문적 해킹 방법을 사용해 카드 정보를 수집한 정황이 포착됐다"고 언급했습니다.


카드 결제에 사용되는 포스 단말기는 악성코드가 감염되는 순간 이용자들의 카드 모든 정보가 해커들에게 넘어갈 수 있습니다. 하지만 이용자 편의 측면이나 비용 문제 때문에 대부분 포스 단말기 업체는 해킹을 막는 백신 프로그램을 사용하지 않는 것으로 알려져 있습니다. 포스 단말기의 특성상 이용 도중 갑자기 백신 프로그램이 작동하면 재부팅을 해야 하는 상황이 발생할 수도 있기 때문입니다.


포스 단말기는 민감한 금융정보를 담고 있으면서도 보안엔 취약한 특수성이 있습니다. 따라서 이번 사건과 같은 일을 방지하기 위해서는 영업시간 외에 알약과 같은 백신 프로그램으로 일시적인 검사를 수행하실 것을 적극 권장해 드립니다.



이스트시큐리티는 앞으로도 외부 보안 위협에 신속하게 대응하고, 발견된 보안 위협들을 사용자들과 정부 기관에 공유해 적시에 선제 조처를 할 수 있도록 최선을 다하겠습니다. 


감사합니다.