2020-11-26 22:20 (목)
수천 개 레스토랑·호텔 POS 단말기 타깃 백도어 ‘ModPipe’ 발견돼
상태바
수천 개 레스토랑·호텔 POS 단말기 타깃 백도어 ‘ModPipe’ 발견돼
  • 길민권 기자
  • 승인 2020.11.17 09:51
이 기사를 공유합니다

ModPipe 백도어 관련 이미지. 이셋 제공.
ModPipe 백도어 관련 이미지. 이셋 제공.

전세계의 바, 레스토랑, 호텔 및 기타 접객 시설 수십만 곳에서 사용하는 관리 소프트웨어 제품군인 ORACLE MICROS Restaurant Enterprise Series(RES) 3700 POS(포스 기기)를 실행하는 장치에 저장된 민감한 정보에 무단 접속할 수 있는 ‘ModPipe’ 백도어가 발견됐다.

이 백도어의 특징은 다운로드 가능한 모듈과 기능이다. 윈도우 레지스트리 값에서 암호를 해독하여 RES 3700 POS 데이터베이스 암호를 수집하도록 설계된 커스텀 알고리즘이 포함되어 있기 때문이다. 이는 백도어의 작성자가 대상 소프트웨어에 대한 깊은 지식을 갖고 있으며 키로깅과 같은 더 간단하면서도 탐지되기 쉬운 접근 방식으로 데이터를 수집하지 않고 보다 정교한 방법을 선택했음을 보여준다. ModPipe의 운영자는 유출된 자격 증명을 통해 다양한 정의 및 구성, 상태 테이블 및 POS 트랜잭션에 대한 정보를 포함한 데이터베이스 콘텐츠에 액세스 할 수 있다.

ModPipe를 발견한 보안기업 이셋(ESET) 연구원은 “그러나 RES 3700 POS의 문서에 따르면 공격자는 암호화로 보호되는 신용 카드 번호 및 만료 날짜와 같은 가장 민감한 정보에는 액세스 할 수 없었다. 암호화되지 않은 상태로 저장되어 공격자가 사용할 수 있는 유일한 고객 데이터는 카드 소지자 이름뿐이었다. ModPipe의 가장 흥미로운 부분은 다운로드 가능한 모듈이다. 우리는 기본 구성 요소를 처음 발견하고 분석한 2019년 말부터 그 존재를 알고 있었다.”고 언급했다.

ModPipe가 다운로드 할 수 있는 모듈은 다음과 같다.

-GetMicInfo는 제조업체가 미리 정의한 두 개의 데이터베이스 사용자 이름에 연결된 암호를 포함하여 MICROS POS와 관련된 데이터를 대상으로 한다. 이 모듈은 특별히 설계된 알고리즘을 사용해 이러한 데이터베이스 암호를 가로채고 해독할 수 있다.

-ModScan 2.20은 선택한 IP 주소를 검색해 머신에 설치된 MICROS POS 환경에 대한 추가 정보를 수집한다.

-ProcList는 머신에서 현재 실행중인 프로세스에 대한 정보를 수집하는 것이 주요 목적이다.

이셋 연구원은, “ModPipe의 아키텍처, 모듈 및 기능은 작성자가 대상 RES 3700 POS 소프트웨어에 대한 광범위한 지식을 보유하고 있음을 나타낸다. 운영자의 숙련도는 독점 소프트웨어 제품을 훔치고 리버스 엔지니어링하거나 유출된 부품 오용, 또는 지하 시장에서 코드를 구입하는 등 여러 시나리오에서 비롯될 수 있다”라고 덧붙였다.

운영자들이 ModPipe에 접근하지 못하도록 하려면 RES 3700 POS를 사용하는 다른 비즈니스뿐만 아니라 접객업 부문의 잠재적 피해자들이 다음과 같은 조치를 취해야 한다.

최신 버전의 소프트웨어를 사용하고 업데이트된 운영 체제 및 소프트웨어를 실행하는 장치에서 사용해야 한다. 그리고 ModPipe 및 유사 위협을 탐지할 수 있는 신뢰할 수 있는 다계층 보안 소프트웨어를 사용하는 것이 중요하다.

★정보보안 대표 미디어 데일리시큐!★