POS 멀웨어 중 가장 악질이라는 ModPOS 발견

입력 : 2015-11-26 17:12

발견하고 보니 더 무서운 거물급 POS 멀웨어
문서의 암호화 여부는 무의미·모든 기능 포함

[보안뉴스 주소형] 본격적인 연말 세일·소비시즌이다. 보안업계에 몸담고 있다면 여기에 POS 멀웨어 시즌이라는 말을 추가해야 할 정도로 지금은 POS 멀웨어가 기승을 부리는 기간이다. 이에 따라 최근 POS 멀웨어에 대한 주의가 높아지고 있는 가운데 몇 년째 감지가 불가능할 것 같았던 악명 높은 ‘ModPOS 멀웨어’가 발견됐다. ModPOS로 인한 미국 내 신용카드 정보 유출 피해자는 헤아리기도 힘든 정도. 이는 사이버 위협 감지기업인 아이사이트 파트너스(iSight Partners) 연구원에 의해 포착됐다.


“ModPOS 멀웨어는 이제껏 분석하던 POS 멀웨어 중 가장 교묘한 멀웨어다.” 아이사이트의 수석 위협분석가인 마리아 노보아(Maria Noboa)가 말했다.

사실 POS 멀웨어를 빠르게 잡아내는 건 쉬운 일이 아니다. 대형 유출사건들이 터지고 나서 총력을 기울여도 잡을까 말까다. 그런데 이번에 발견된 ModPOS 멀웨어는 기존의 그 어떤 POS 멀웨어 중에서도 가장 복잡하고 높은 레벨의 멀웨어라고 전문가들은 입을 모았다. 실제로 미국의 최대 개인정보 유출사건으로 꼽히는 타깃(Target) 사건에 악용된 블랙포스(BlackPOS) 멀웨어나 글로벌 택배서비스기업인 UPS 유출사건에 쓰였던 백오프(BackOff) 멀웨어는 물론 최근 드러난 체리피커(CherryPicker) 멀웨어 및 아바돈(Abaddon) 멀웨어보다 기량이 휠씬 뛰어나다고 설명했다.

“우리는 ModPOS를 발견하고 나서도 바로 악성임을 증명하지 못했다. 워낙에 교묘한 기술을 사용하고 있어 이를 증명해내는 데까지도 2~3주 이상이 소요됐다.” 노보아 연구원의 말이다. 체리피커를 분석하여 악성임을 밝혀내는 데 20분 걸린 것과 비교해보면 ModPOS 분석에 얼마나 오랜 시간이 투입된 것인지 가늠할 수 있다.

일단 ModPOS는 모듈 식이다. 여기에는 POS 카드 스크랩퍼 모듈은 물론이고 키로거(keylogger), 업로더/다운로더, 기밀문서 스크레이핑, 로컬 시스템 및 네트워크에 있는 정보 수집 등 다양한 기능을 가진 모듈이 모두 포함되어 있다. 노보아 연구원에 따르면 아무리 정보가 암호화되어 있어도 ModPOS 멀웨어 공격을 방어하기에는 역부족이다.

ModPOS에 사용된 코드를 본 노보아 연구원은 이례적일 정도로 우수한 기술이라고 평가했다. “ModPOS에 사용된 셀코드(Shell code)는 하나의 완벽한 프로그램으로 봐도 무방할 정도로 짜임새가 탄탄하다. 우리는 셀코드 가운데 한 부분만을 발견했는데 여기에만 해도 600개 이상의 기능이 포함되어 있었다.”

해당 멀웨어는 집요하고 교묘한 성격을 띠는 것이 특징이다. 특히 의도적으로 애매하게 만들어진 흔적이 역력하다. 각각의 모듈이 모두 커널(kernel) 모드에서 실행되고 있어 모듈 하나하나가 하나의 루트킷(rootkit)이라고 표현해야 할 수준이라고 노보아는 설명했다.

MosPOS의 탐지가 어려운 이유 중 하나는 모든 해시(Hash) 값이 각 피해자 시스템 별로 고유의 값을 갖고 있기 때문이다. 따라서 공격 요소가 있는 해시 값을 리스트화 시킬 수도 없다고 연구원들은 말했다.

여기서 그나마 다행인 건 ModPOS 멀웨어가 거래된 흔적까지는 발견되지 않는다고 연구원들은 입을 모았다.

“ModPOS 멀웨어 제작자의 특징은 이를 통한 직접적인 수익만 노린다는 점이다. 해당 멀웨어는 판매함으로서 발생하는 부수적인 수익에는 관심이 없고 공유하려는 의지도 없어 보인다.”

아이사이트 연구원들에 따르면 ModPOS 공격은 적어도 2013년 이전부터 시작됐으며 이미 미국 내 알려지지 않은 수백 개의 소매업체들의 고객 신용카드 정보를 탈취하는 데 성공했다. 작은 규모의 업체만 공격하는 것도 ModPOS의 특징 가운데 하나다. 이 같은 모든 ModPOS 특징들은 빠르고 높은 수익성과 높은 성공률을 보장하는 결과를 낳았다고 연구원들을 말했다.

한편 연구원들은 ModPos를 발견하기는 했으나 아직까지 이에 대한 위협요소를 낮출 수 있는 요소는 없다고 밝혔다. 다만 이들이 향후 동유럽으로 무대를 확장할 가능성이 있다고 덧붙였다.


Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

주소형기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  북한 IT노동자, 가짜 이력서로 서방국 취업...

• 2

  업무 관련 메일로 위장해 유포 중인 악성코드...

• 3

  MS의 로우코드 플랫폼 파워페이지스, 사용자...

• 4

  최고의 ‘보안 강연자’를 선발하다... IS...

• 5

  연말시즌, 해커도 성수기... 해커들이 만든...

• 1

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 2

  악명 높은 봇넷 엔지오웹, 각종 범죄 인프라...

• 3

  [정보세계정치학회 칼럼] 데이터·공급망 안보...

• 4

  북한 IT노동자, 가짜 이력서로 서방국 취업...

• 5

  연말시즌, 해커도 성수기... 해커들이 만든...

• 1

  580억원 상당의 가상자산 탈취사건, 북한 ...

• 2

  개인정보 유출 사고 대응방안 논의... 공공...

• 3

  인류를 위한 인공지능 거버넌스, 어떤 제안 ...

• 4

  깃허브에서 활동하는 개발자들을 노리는 고급 ...

• 5

  [단독] 한국지능정보사회진흥원, 관리자계정 ...