[아이뉴스24 최은정 기자] 지난해 하나은행 해킹 혐의로 구속된 이모(42)씨가 중국산 해킹 프로그램으로 제작한 악성코드로 카드가맹점 포스(PoS) 단말기를 공격한 것으로 보인다는 분석이 제기됐다.
앞서 서울지방경찰청 보안수사대가 이모씨의 1.5테라바이트(TB) 분량 외장하드를 압수해 분석한 결과, ATM과 포스 단말기 등에 악성코드를 심어 탈취한 국내 카드정보 등의 개인정보가 저장돼 있는 것으로 알려져 논란이 됐다.
16일 이스트시큐리티 시큐리티대응센터(ESRC)는 서울지방경찰청 의뢰로 해킹사건 피의자의 외장하드에서 발견된 파일들을 분석한 결과, 대표적인 중국 오픈소스 해킹 프로그램인 '고스트 렛(Gh0st RAT)'으로 만든 포스 기기 맞춤형 악성코드와 설정 파일들이 발견됐다고 밝혔다.
![고스트 렛 원격제어 기능들 [자료=이스트시큐리티]](https://img-lb.inews24.com/image_gisa/202006/1592261101288_1_074530.jpg)
문종현 이스트시큐리티 이사는 "이모씨가 고스트 렛 소스 프로그램을 악용해 직접 악성코드를 제작한 것으로 보인다"며 "이 프로그램은 인터넷에 소스가 공개돼 있는 것이기 때문에 (이씨가 악성코드를) 구매한 것은 아닌 것으로 추측된다"고 말했다.
이후 일종의 공급망 공격 시나리오로 해킹이 이어진 것으로 보인다는 설명이다. 이 씨가 포스업체 메인 서버의 업데이트 기능을 가로채 고스트 렛 변종 악성코드를 각 매장의 포스 단말기에 대량 유포 시도한 것. 공급망 공격은 정상적인 업데이트 서버 등에 침투해 기존 정상파일을 악성파일로 변경하는 공격 수법이다.
문 이사는 "맞춤형으로 제작된 악성코드를 업데이트 서버로 배포하는 이러한 공격 방식 자체는 기존 공급망 공격과 흡사하다"며 "지금까지 약 3개월 간 서울지방경찰청과 당사는 긴밀히 협력해 적극 대응하고 있다"고 덧붙였다.
향후 금융위원회, 경찰청, 금융감독원은 금융사 등과 협조해 이번 사건 분석 결과를 바탕으로 부정사용방지시스템 가동 강화 등 긴급조치를 시행할 계획이다.
현재 금융위와 경찰청은 외장하드 전체 용량인 1.5테라바이트 보다 실제 저장된 개인정보는 훨씬 적다고 설명하고 있다.
금융위 측은 "지난 2018년 7월 포스 단말기가 정보 유출에 취약한 기존 마그네틱 방식에서 정보보안 기능이 크게 강화된 카드를 '꽂는' 집적회로(IC) 방식으로 교체했다"며 "이에 지속적인 정보 유출이 발생하는 건 아닐 것"이라고 봤다.
최은정 기자 ejc@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기