© News1 DB

1.5테라바이트(TB) 용량의 외장하드에서 발견된 각종 금융·개인정보는 중국산 원격제어 악성코드 '고스트렛(GhostRAT)'으로 카드 결제기 포스(POS) 단말기를 공격해 유출된 것으로 확인됐다.

고스트렛은 단말기 내 업그레이드 기능을 악성코드로 바꿔치기 하는 이른바 '공급망 공격' 수법으로 단숨에 대량의 정보를 탈취했다. 16일 보안업계에 따르면 최근 논란이 된 신용·체크카드 사용내역, 주민등록번호 등 금융·개인정보 유출 사고에 사용된 악성코드는 고스트렛인 것으로 드러났다. 

이번 금융정보 유출 사건을 수사해온 서울지방경찰청 보안수사대는 지난 3월 국내 보안업체인 이스트시큐리티에 공식 협조요청을 전달했다. 지난해 6월 하나은행 전산망에 악성코드를 심어 해킹하려다 붙잡힌 이모씨(42)의 외장하드에서 대량의 카드사 고객 개인정보를 발견, 유출 경위를 파악하기 위해서였다.

이스트시큐리티의 분석 결과, 이씨는 고스트렛을 이용해 국내 특정 포스 단말기 업체를 공격한 것으로 드러났다.  사전에 포스 단말기 내 프로그램에 침투해 특정 설정 파일을 조작한 다음, 이용자가 단말기의 정상적 업데이트 기능을 시행하려고 하면 고스트렛 기반의 악성 프로그램이 설치되는 식이다.

중국에서 만들어진 것으로 알려진 고스트렛은 한 번 설치되면 모든 권한이 해커에게 넘어가는 원격제어 악성코드다. 이씨는 고스트렛을 설치한 전국 포스 단말기를 통해 카드 정보를 수집한 것으로 파악된다. 

특히 이씨가 사용한 고스트렛은 사용자가 스스로 만드는 'DIY'(Do it yourself) 버전인 것으로 전해졌다.

문종현 이스트시큐리티 시큐리티대응센터(ESRC) 이사는 "해커가 만든 해킹 프로그램으로 중고급 이상의 전문적 해킹 방법을 사용해 카드 정보를 수집한 정황이 포착됐다"고 말했다.

카드 결제에 사용되는 포스 단말기는 악성코드가 감염되는 순간 이용자들의 카드 모든 정보가 해커들에게 넘어갈 수 있다.

하지만 이용자 편의 측면이나 비용 문제 때문에 대부분 포스 단말기 업체는 해킹을 막는 백신 프로그램을 사용하지 않는 것으로 전해졌다. 포스 단말기 이용 중에 갑자기 백신 프로그램이 작동하면 재부팅해야 하는 상황이 발생하거나 단말기의 작은 화면에 특화된 전용 백신 프로그램을 만들기 위해선 추가 투자가 필요하다는 것이다. 

업계 관계자는 "포스 단말기는 민감한 금융정보를 담고 있으면서도 보안엔 취약한 특수성이 있다"며 "아직 금융당국에 관련 피해 접수가 안됐다고 해도 선제적 조치가 필요해 보인다"고 말했다.


son@news1.kr