미국 대형유통업체인 타깃, 홈디포 해킹에 악용된 '블랙POS(blackPOS)'에 이어 POS시스템을 노린 또 다른 악성코드가 등장했다.
시스코시스템즈 소속 탈로스 보안 인텔리전스 및 리서치 그룹은 자사 보안블로그를 통해 POS시스템으로부터 사용자의 금융정보를 훔쳐내는 일명 '포세이돈(PoSeidon)'이라는 악성코드를 발견했다고 밝혔다.
포세이돈은 인터넷뱅킹 악성코드로 악명을 떨쳤던 제우스와 지난해까지 문제가 된 블랙POS의 기능을 합친 형태다.
이 악성코드는 감염된 POS시스템의 메모리 영역을 검색해 비자, 마스터카드, AMEX, 디스커버와 같은 해외 신용카드/체크카드를 긁었을 때 저장되는 카드번호 신호를 탈취한다. 또한 카드번호에 대한 유효성을 검사하기 위해 사용되는 룬 알고리즘(Luhn algorithm)까지 악용한다.
포세이돈은 POS시스템을 재부팅하거나 사용자가 로그아웃하더라도 공격대상 기기에 악성코드가 남아있을 수 있도록 여러 개의 로더 바이너리(loader binary)로 구성됐다. 로더는 해커가 공격명령을 내리는 외부 C&C서버로부터 추가적인 악성코드를 다운로드 받도록하는 기능을 한다.
관련기사
- 내년에 주목되는 보안 이슈는?2015.03.24
- POS 시스템은 어떻게 신용카드 위조에 악용됐나2015.03.24
- POS시스템 해킹, 허술한 비번 노려2015.03.24
- 국내 POS단말기 해킹 주범 캄보디아서 검거2015.03.24
이 중 'FindStr'는 사용자가 키보드로 입력한 정보를 가로채는 기능을 가진 키로거를 설치하고, POS시스템의 메모리에 입력되는 카드번호 신호를 훔쳐내는 기능을 한다. 또한 룬 알고리즘을 활용해 실제 카드번호가 맞는지 검증한 뒤에 수집한 정보를 암호화해 외부 웹서버로 보낸다. 이들 서버는 대부분 러시아 소재 도메인을 악용하고 있는 것으로 확인됐다.
시스코 보안팀은 공격자들은 POS시스템을 지속적으로 노리고, 다양한 난독화 기술을 동원해 탐지를 피하고 있다며 이러한 공격이 수익을 제공하는 한 공격자는 새로운 악성코드를 만드는데 투자를 지속할 것이라고 밝혔다.