보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

[Special Report] 해커의 시선, POS 시스템으로 향한다

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2015-02-26

POS 시스템 보안 위협과 안랩 EPS


 

2013년 블랙 프라이데이 시즌에 발생한 미국의 대형 유통업체인 타겟(Target)사의 신용카드 정보와 개인정보 유출 사건이 세계를 깜짝 놀라게 했다. 주변에서 흔히 사용하는 결제 시스템 정도로만 여겼던 POS 시스템이 해커의 공격 대상이 되었고, 2300억 원이라는 막대한 금전적 피해가 발생했다. 그 동안 보안 전문가들의 경고에도 불구하고 간과했던 POS 시스템의 보안 위협이 현실화된 것이다. 사실 POS 시스템을 노린 해킹 사고가 발생한 것은 어제오늘 일이 아니다. 2009년 처음 트래커 악성코드가 발견된 후 해마다 POS 악성코드는 증가하고 있다. 반면, POS 시스템 환경에 맞는 보안 체계와 보안 솔루션 적용은 미흡한 상태이다. 이 글에서는 POS 시스템이 가지고 있는 특수 환경과 이를 노리는 보안 위협에 대해 알아본다. 그리고 이에 대한 보안 대응 방안으로 안랩의 POS 시스템 전용 보안 솔루션인 안랩 EPS(AhnLab EPS)에 대해 자세히 살펴보자.

 

 

왜 POS 시스템을 노리는가


안랩은 매년 발표하는 ‘올해의 보안 위협 트렌드 보고서’에서 ‘POS 시스템 보안 문제 대두’를 예측한 바 있다. 이 보고서에 따르면 올해에는 국내에도 기존 POS 단말기 공격뿐만 아니라, POS 시스템 제작업체 대상 해킹 시도 등 보다 다양하고 강력한 방식의 POS 시스템 공격 방식이 등장할 것으로 전망했다. POS 시스템의 보안 위협에 대해 본격적으로 논의하기 앞서 POS 시스템이 무엇이며, 왜 해커들이 이 시스템을 겨냥하고 있는지 알아보자.


POS(Point of Sales) 시스템은 점포에서 판매와 동시에 품목, 가격, 수량 등의 유통 정보를 컴퓨터에 입력시켜 정보를 분석, 활용하는 관리 시스템이다. 이를 통해 물품 계산은 물론 수시로 매출 동향을 파악하고 재고를 적정 수준으로 유지하는 등 상품관리에 있어서 중요한 역할을 하는 핵심 시스템이다. 이제는 더 나아가 단순 지불, 회계, 영업상황, 재고 관리 등의 운영 정보 제공뿐 아니라 다양한 포인트와 맴버십 등 고객 관리까지 사용되고 있다. 특히 최근 몇몇 서비스 제공 업체들은 이러한 POS의 고객 정보와 고객 스마트 기기의 위치 정보, 앱(APP) 사용 데이터 등 다양한 데이터 융합을 통해 고객 편의 및 충성도 개선을 위한 정보를 제공하고 있으며, 이 분야는 지속적으로 클라우드 연계과 함께 발전해 나갈 것으로 보인다.

 

 



[그림 1]  POS 시스템의 운영 방식                  source: epson-biz.com

 

이렇게 POS 시스템의 활용도가 높아지고 중요 정보를 다루고 있는데 비해 보안 대책은 미흡한 것이 현실이다. 일반적으로 POS 시스템은 대부분 저사양 컴퓨터에 관련 프로그램이 운용되는 형태다. 대부분의 POS 시스템은 메모리 1GB 정도의 낮은 사양인 데다 보안 프로그램은 커녕 윈도 업데이트도 제대로 이뤄지지 않고 있다. 또한 POS 시스템을 본래 목적 외에 인터넷 검색 등의 용도로 사용하는 경우도 빈번하여 악성코드에 쉽게 노출된다.
결론적으로 해커가 POS 시스템을 노리는 이유는 명확하다. 보안이 취약한 반면, 가치 있는 중요한 정보를 대량 보유하고 있기 때문이다.

 



[그림 2] 2009년 ~ 2014년 발견된 주요 POS용 악성코드

 


POS 시스템 보안 위협과 현재 대응 방식의 한계 

 

다양한 연결을 통한 네트워크 보안 위협


대형 유통 업체에서는 POS 시스템과 지불 승인 네트워크를 별도의 전용선을 이용할 것이다. 하지만 앞서 설명한 것과 같이 다양한 고객 정보, 포인트 정보 등 고객 관리 정보와의 연계 등을 위해 다른 네트워크와도 연결되어 있다.  중소 규모의 업체나 소매점의 경우에는 공용(public) 인터넷 혹은 셀룰러(Cellular)를 통해 POS 시스템을 연결하여 지불 승인을 하거나 아예 서비스형 소프트웨어(Software as a Service, SaaS) 형태의 클라우드 기반 POS로 운영하기도 한다. 이와 같은 네트워크 상황에서는 다양한 보안 홀(약점)이 존재할 수밖에 없으며, 특히 무선인터넷과 연결된 상황에서는 더욱 네트워크를 통한 침투 가능성이 높아진다.

 

서비스 종료된 운영체제 사용 

 

현재 대부분의 POS 시스템의 운영체제는 서비스가 종료된 마이크로소프트의 윈도 XP(Windows XP) 및 윈도 XP를 기반으로 한 WEPOS(​Windows Embedded for Point of Service), 윈도 임베디드 POSReady 2009​(Windows Embedded POSReady 2009)를 사용하고 있다. 이 윈도 XP 계열의 운영체제는 십여 년 전(2001년) 출시된 운영체제로 수많은 취약점과 공격 기법이 발견되고 있다. 특히, 이미 서비스가 종료된 운영체제이므로 보안 패치 등의 보안 업데이트 서비스가 더 이상 제공되지 않아 보안에 매우 취약하다.

 

애플리케이션 취약점


POS 시스템은 이러한 범용적인 운영체제뿐 아니라 원격 제어 프로그램, 인터넷 익스플로러, 어도비 리더, 마이크로소프트 오피스 등 관리 및 편의를 위한 다양한 프로그램도 함께 설치하여 사용하고 있다. 이러한 경우 일반적인 데스크톱 PC와 동일한 취약점에 노출될 수밖에 없다. 웹 브라우저, PDF, DOC 등 문서, 자바(JAVA) 등 취약점을 통한 악성코드의 유입으로 POS 시스템은 공격자의 손에 넘어갈 수 있다.

 

POS 용도 이외의 인터넷, 외부매체 사용

 

마지막으로 점주 또는 점원이 POS 시스템을 개인 PC 사용하듯 POS 시스템을 타 용도로도 사용함으로 인해 위협에 노출될 수 있다. 즉, 외부에서 USB 메모리를 통해 음악파일을 가져와서 복사하거나, 이메일, SNS 등 개인적인 인터넷 사용, 문서작업 등 POS 용도 외 다른 프로그램과 미디어, 인터넷의 사용으로 악성코드의 유입뿐만 아니라 스피어 피싱과 같은 지능화된 공격의 위협에 노출된다.

 

POS 시스템은 이러한 취약점, 사회공학적인 공격까지 다양한 위협에 노출되어 있으나 현재 단말기의 보안은 안티바이러스 소프트웨어 사용과 데이터의 암호화 및 암호 통신 이외에 특별한 대안이 없다. 악성코드 유입으로 인해 장악된 POS 시스템에서는 데이터의 암호화나 암호 통신이 무의미해 지며, 시그니처 기반인 안티바이러스 소프트웨어는 이미 악성코드 대응에 약할 수밖에 없다. 물론 저사양의 POS 시스템 특성과 제한된 네트워크 속도 상 꾸준히 시그니처를 업데이트하고 검사하는 안티바이러스 소프트웨어를 설치하고 구동하기 어려운 환경이라는 점도 감안해야 한다.

 

POS 시스템, 일반 PC와 다른 보안 대책 필요

 

POS 시스템 해킹은 신용/직불카드 정보뿐 아니라 해당 카드를 사용한 고객의 정보, 포인트나 멤버십 정보까지 탈취하며, 이를 통한 카드 복제, 취득 정보의 2차, 3차 거래 등 다양한 범죄에 악용될 수 있다. 이러한 POS 시스템 보안은 일반적인 PC보다 더욱 강력한 보안이 요구되며 다각도의 대책이 필요하다.


우선 POS 시스템의 로그인 암호를 복잡하게 설정하고 주기적으로 변경하고, 가급적 VNC, 원격 데스크톱(Remote Desktop) 등 원격제어 프로그램을 사용하지 않아야 한다. 실제로 지난해 한 포럼이 진행한 프로젝트에서 ‘pos12345’, ‘posadmin’과 같이 유추하기 쉬운 비밀번호와 원격 접속으로 POS시스템의 권한을 탈취한 후 악성코드를 통해 신용카드 정보를 훔쳐낼 수 있다고 설명했다(http://www.theregister.co.uk/2014/07/09/botnet_brute_forces_pos/).
또한 지불 결제에 필요한 네트워크 연결 외에 공용 인터넷과의 연결이나 무선 인터넷(WiFi) 연결 등은 모두 사용하지 않도록 하며, 인터넷 연결이 부득이하게 필요한 경우에는 방화벽을 이용하여 필요한 연결만 가능하도록 한다. 

그리고 직원 교육을 통해 POS 시스템으로 개인적인 인터넷 사용이나 외부 저장매체의 접촉, 문서 작업 등 POS 시스템의 운용에 필요한 프로그램 이외에는 사용하지 않도록 해야 한다.


무엇보다도 가장 중요한 것은 모든 공격의 시작이 되는 악성코드의 유입과 실행을 차단해야 한다. POS와 같은 특수 목적 시스템은 일반적인 PC와 다른 운영 환경으로 구성되어 시스템에 사용되는 애플리케이션은 명확하게 정의되어 있고, 해당 애플리케이션을 이용해 제한된 역할을 수행하게 된다. 하지만 현재 이러한 특수 환경의 시스템도 일반 PC용 운영체제를 기반으로 하고 있어 다양한 보안 위협에 노출되어 있으며, 일반 PC와 동일한 보안 체계를 사용하고 있다. 즉 POS 시스템은 해당 목적에 맞는 필요한 프로그램과 리소스만 사용하는 등 제한적인 환경 구성이 필요하여, 일반 PC에 사용하는 안티바이러스 소프트웨어를 사용하는 것으로는 타깃된 공격과 고도화된 공격을 차단하기 어렵다. 또한 안티바이러스 소프트웨어는 주기적인 시그니처의 업데이트와 디스크 검사 등을 수행해야 하므로 저사양 시스템으로 운용하는 POS 시스템에 과부하를 주어 결제 지연 및 통신 장애 등을 유발할 수 있다.


최근 이러한 이유로 POS 시스템의 보안으로 애플리케이션 콘트롤 제품이 논의되고 있으나, 이 제품은 관리자의 전문적인 지식을 바탕으로 고도의 애플리케이션 사용/차단 정책 관리가 필요하며, 보안 제품이 아닌 관리 제품이기에 악성코드 침입 및 감염 여부 등 위협을 탐지하고 판단하여 대응하기에 보안 전문가의 관리가 필요하다. 하지만 중소상점의 점주들이 이러한 보안적 관리를 할 수 있는 경우는 거의 없으므로 애플리케이션 콘트롤 제품은 도입하더라도 관리되지 못할 것이다. 



[그림 3] 일반 사무용 PC vs. POS 시스템 환경 차이

 

 

POS 시스템 전용 보안 솔루션, AhnLab EPS


AhnLab EPS(Endpoint Protection System)는 POS 같은 특수한 목적의 엔드포인트(fixed function devices)를 위한 전용 보안 솔루션으로 시스템의 안정적 운용에 대한 민감도가 높고 정해진 프로그램만 사용하는 자동화기기 및 제어용 시스템 등에 최적화된 전용 보안 솔루션이다.


고도의 전문적인 관리가 필요한 애플리케이션 콘트롤(Application Control)과 달리 지능적인 화이트리스트(WhiteList) 기반으로 운영 시스템에 필요한 프로그램의 실행과 네트워크 연결, 시스템 자원만 사용 가능하게 한다. 이로 인해 불필요한 또는 비용도적(POS와 관련 없는) 프로그램의 실행을 차단하여, 악성코드의 유입과 악성코드의 활동을 억제할 수 있다.

 



[그림 4] AhnLab EPS 주요 기능


안랩 EPS의 주요 기능은 다음과 같다.


√ 강력한 악성코드 탐지 및 확산 방지 기능
■ 서버에 보유한 악성코드 탐지•치료 엔진을 통한 에이전트의 악성코드 탐지 및 확산 방지
■ ​ IP, 포트 차단 및 외부 저장장치 자동 실행 방지를 통한 감염 경로 차단
■ ​OS 패치 업데이트 적용 여부와 관련 없는 보안성 확보

√​ 비업무 프로그램 행위 및 불필요한 매체 차단
■​ 허가된 애플리케이션 및 네트워크 연결만 사용할 수 있도록 관리
■​ 저장 매체 등 매체 제어를 통한 비업무적 매체 연결 원천 차단

 

√​ 초경량 보안 및 통제 솔루션
■​ 에이전트가 설치되는 제어 시스템의 메모리, CPU 점유율 최소화
■​ 모든 자원 소모 작업은 별도의 서버에서 수행

 √​ ​중앙 집중식 관리 시스템
■​ 대시보드를 통한 모든 에이전트 관리 포인트 단일화
■​ 에이전트 그룹 기능을 통한 빠른 접근
■​ 에이전트 미설치 기기 검색, 원격 통한 시스템 확인/점검
■​ 중요 알림 및 통합 로그 관리


안랩 EPS는 지능적인 화이트리스트 방식의 애플리케이션 제어 기능으로 전문적인 보안 지식 없이도 운용이 가능하며, 중앙 관리를 통해 가맹점의 운용 부담을 덜어준다.


또한 안랩 EPS 서버의 악성코드 분석 엔진을 통해 단말 시스템에 백신 등의 주기적 업데이트와 이로 인한 네트워크 및 시스템 자원 점유 없이 악성코드를 탐지하고 차단할 수 있다. 특히 시스템 자체의 자원을 거의 사용하지 않고도 시스템에 생성되는 모든 실행 파일에 대한 실시간 검사와 분석을 수행할 수 있다. 이를 통해 POS 시스템 단말의 악성코드 대응과 알려지지 않은(Unknown) 위협의 분석까지 수행이 가능하여 별도의 안티바이러스 솔루션을 추가로 구매/설치할 필요가 없다. 

 

안랩 EPS는 강력한 락다운(Lockdown) 기능으로 POS 시스템 운용에 필요 없는 애플리케이션 및 시스템 기능과 매체•네트워크 연결 통제 기술을 통해 모든 POS 시스템이 외부의 공격과 알려지지 않은 위협으로부터 항상 안전한 상태로 유지할 수 있게 해준다. 또한 서버에서 제공하는 악성코드 탐지 및 분석 기능과 보안 정책 관리를 통해 모든 시스템이 언제나 안전한 파일들로 구성되고 운영될 수 있도록 유지하고 보호한다. 즉, 사전 차단 및 보호를 통해 POS 시스템의 운용에 중점을 두고, 그 뒷단의 탐지 및 대응을 통해 추가적인 보안 정책 강화 등이 가능하다. 

 

안랩 EPS는 다이소, 신세계 등 대형 유통 업체의 POS 시스템에 적용되어 성능과 안정성 측면에서 이미 검증된 제품이다. 또한 특수 목적 시스템인 반도체 및 가전 생산 라인, 산업 설비 제어, 키오스크(KIOSK), ATM 등 다양한 분야에 전용 보안 솔루션으로 운용되고 있다.  

 

실제 국내의 A 공항에 적용된 사례를 살펴보자. 이 공항의 FIDS는 1800여 대로 HDD없는 저사양 단말에 윈도 임베디드 XP(Windows Embedded XP) 시스템으로 구성되어 일반적인 안티바이러스 소프트웨어 외에 다른 보안 대책이 없는 상태였다. 그러나 시스템 점유가 높고 지속적인 시그니처 패턴 업데이트가 필요한 안티바이러스 소프트웨어로는 보안 대응에 한계뿐 아니라 시스템적인 부담까지 존재한 상태였다. 이 공항은 이러한 문제점을 해결하기 위해 안티바이러스 소프트웨어 대신 안랩 EPS를 도입하여, 안정적인 FIDS 시스템 운영에 영향 없는 보안 체계를 구축했다.

 



[그림] A 공항의 안랩 EPS 구축 사례 

 

이렇듯 안랩 EPS는 특수 목적 시스템 전용 보안 솔루션으로 해당 시스템의 리소스와 관련 업무 프로세스에 영향 없이 사전적인 악성코드 차단과 통제가 가능하고, 이를 통한 정보 유출 방지와 생산성 향상, 관리 및 운용 비용 절감 효과를 거둘 수 있다. @

  • AhnLab 로고
  • 김창희 제품기획팀 부장
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.