정찰에 정찰을 거듭하는 조심스런 멀웨어, 매직POS

지난 8월~11월 사이 활발했던 POS용 멀웨어
약 23,400여 개의 신용카드 정보 도난당한 듯

▲ 주인님, 무엇을 훔쳐드릴까요

[보안뉴스 문가용 기자] 보안 전문업체인 트렌드 마이크로(Trend Micro)는 최근 새로운 POS용 멀웨어를 발견했다고 발표했다. 특히 미국과 캐나다 지역에서 기승을 부리고 있는 중인데, 세계의 다른 지역이라고 해서 안심할 상황은 아니라고 한다.

트렌드 마이크로가 이 멀웨어에 붙인 이름은 매직POS(MajikPOS)로 최초로 발견된 건 1월 마지막 주라고 한다. 이미 오래전부터 활동하던 것이 뒤늦게 발견된 것이라, 이미 23,400여 개의 신용카드 데이터가 도난당한 뒤였다.

트렌드 마이크로에 의하면 매직POS는 또 다른 최신 POS 멀웨어인 패스트POS(FastPOS)와 모드POS(ModPOS)와 데이터를 훔친다는 측면에서는 같으나 감염이나 구축 방식에 있어서는 완전히 다르다고 한다. “매직POS 공격자들은 본격적으로 활동하기에 앞서 피해자들을 먼저 탐구합니다.” 트렌드 마이크로의 위협 통신 책임자인 존 클레이(Jon Clay)의 설명이다.

먼저 매직POS는 시스템 감염 시 원격 접근 트로이목마(Remote Access Trojan)를 적극 활용한다. 이 RAT를 분석한 결과 작년 8월과 11월 사이에 활발하게 활동한 것으로 나타났다. “공격자들이 RAT를 활용하는 이유는, 본격적으로 공격을 시작하기에 앞서 그 시스템이 공격할 만큼의 가치가 있는 것인지 탐구하기 위해서입니다.”

RAT를 통한 정찰 후 ‘가치가 있다’고 판단이 된다면, 공격자들은 가상 네트워크 컴퓨팅, 원격 데스크탑 연결, 명령행 FTP 등을 활용해 매직POS를 설치하기 시작한다. 이 단계에서의 가장 큰 목적은 ‘주요 무기’를 활용하지 않아도 공략이 가능할 정도로 취약한 시스템을 찾는 것이라고 클레이는 설명한다.

취약한 시스템을 발견하였다면, 공격자들은 두 개의 실행파일을 사용해 본격적인 공격을 실시한다. 하나는 해당 시스템에 공격 페이로드를 심는 실행파일이고, 다른 하나는 카드번호를 훔쳐내는 스크래퍼다. 점진적으로 공격하기 때문에 첫 단계에서 막혔을 때 무리하게 공격을 감행하다가 핵심 멀웨어가 유출되거나 분석되는 경우도 적어질 수 있다.

“즉, 매직POS의 운영자들이 매우 조심스럽다는 사실을 알 수 있습니다. 한 번에 많은 것을 파괴하거나 탈취하는 것이 목적이 아니라 최대한 숨어서 길게 공격을 가하는 게 목적이기 때문이죠. 한 발 더 나아가면, 매직POS를 운영하는 자들과 만든 자들이 동일할 가능성이 매우 높다는 것도 유추해볼 수 있습니다.” 또 한 가지 재미있는 사실은 매직POS가 .NET으로 코딩되었다는 것이다. 멀웨어 개발 분야에서는 그리 흔한 일이 아니다.

매직POS는 한 번 설치된 후부터는 카드번호 데이터를 끊임없이 찾아다니며 C&C 서버로 유출시킨다. 그렇게 해서 빼돌린 것이 23,400여 건의 정보이며, 카드 종류에 따라 단독 카드 정보는 약 9천원에서 3만 9천원에 거래되었고, 벌크로 거래될 경우 25만원에서 7천만원으로 거래된 것으로 보인다. 아메리칸 엑스프레스, 비자, 마스터카드, 다이너스클럽이 특히 인기가 많았다.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)