최근 2000년 출시된 윈도 XP를 기반으로 동작하는 판매시점 정보관리 시스템(POS)이 대거 악성코드에 감염되는 일이 발생했다. 2017년 금융자동화 기기(ATM) 악성코드 감염 사고도 보안에 취약한 구형 운영체제(OS)가 빌미가 됐다는 점에서 스마트폰이나 컴퓨터뿐 아니라 특수목적 시스템의 보안 관리 중요성이 부각된다.
한국인터넷진흥원(KISA)이 최근 발표한 자료를 보면, 7월 초 22개 POS 단말기 업체로부터 침해사고 신고 접수가 쏟아지기 시작했다. KISA는 신고 접수 일주일쯤 후 해당 POS 단말기 침해사고 현장에서 4종의 악성코드를 채증하고, 샘플을 백신 업체와 공유했다. 당시 일부 POS 단말기는 악성코드 감염으로 결제 불능 상태에 빠져 금융감독기관도 함께 대응에 나섰다.
KISA가 채증한 4종의 악성코드는 분석 결과, 다행히 결제 정보를 탈취하지는 않지만, 대신 원격제어와 암호화폐(가상화폐) 채굴 기능을 수행하는 악성코드인 것으로 나타났다. POS 단말기 자체는 성능이 뛰어나지 않아 가상화폐 채굴 효율이 좋지 않지만, 대개 24시간 켜져 있는 경우가 많아 영업시간은 물론 영업시간 외에도 꾸준히 채굴을 할 수 있다는 점을 노린 것으로 보인다.
더 위험한 것은 원격제어 기능이다. 공격자는 언제든 필요할 때 이 기능을 활성화해 추가적인 악성 행위를 할 수 있다. 만약 가상화폐 채굴 효용이 떨어진다고 판단하면 해당 POS 단말기에 랜섬웨어를 설치해 동작을 못하게 만들고 금전을 요구할 수도 있다. 감염시킨 POS 단말기의 수가 충분히 많다면 임의의 다른 타깃을 마비시키기 위한 분산 서비스 거부(DDoS, 디도스) 공격에 동원될 가능성도 있다.
20178년에는 ATM 설치 및 유지보수를 전문으로 하는 한 업체가 운영하는 ATM 63대가 악성코드에 감염되는 사고가 발생했다. 당시 국내에서는 위장 가맹정 부정승인이, 해외에서는 ATM 부정인출 사례가 발생하면서 큰 파장이 일었다. 금융감독원은 정보 유출 가능성이 높은 카드 2500개에 대해 재발급 또는 비밀번호 즉시 변경을 요청하고, 해외 마그네틱 카드 현금인출 차단, 부정승인 모니터링 강화 등을 긴급 지시했다.
두 사고 모두 공통점은 구시대의 유물인 윈도 XP를 기반으로 한다는 점이다. 국내 POS 단말기와 ATM은 대부분 ‘임베디드 포스레디’라는 OS를 쓴다. 임베디드 포스레디는 2014년 지원이 종료된 윈도 XP를 기반으로 하지만, 상대적으로 늦게 출시된 탓에 2000년대 후반에 출시된 버전의 경우 사용연한을 고려해 버전에 따라서는 2019년에서 2020년까지 업데이트를 지원한다.
구형 OS를 쓰더라도 관리를 철저하게 하면 무관심하게 방치되는 최신 OS 기기보다 나을 수도 있다. 하지만, 대부분의 POS 단말기는 요식업이나 소매업 등 IT나 보안 기술과는 거리가 먼 곳에서 사용되기 때문에 철저한 관리를 기대하기 어렵다. 결국, 최신 OS 기반으로 시스템을 업데이트하는 것만이 최소한의 대비책이 될 수 있다는 지적이다.
보안 업계 한 관계자는 “가정용 공유기의 경우만 해도 보안 설정이나 펌웨어 업데이트를 자유자재로 할 수 있는 사용자는 손에 꼽을 정도라 취약점이 방치되기 일쑤다”라며 “최종 사용자의 보안 인식도 중요하지만, 특수목적 시스템의 경우 제품 설계 단계에서부터 보안을 고려해 일반인도 보안 걱정 없이 기기를 쓸 수 있는 기반을 마련할 필요가 있다"고 말했다.