北, ATM 이어 POS도 해킹...돈 되는건 다 노린다

북한 해커그룹이 국내 판매시점정보관리(POS) 기기를 공격해 금전 탈취를 시도한 것으로 드러났다. 올 3월 금융자동화기기(ATM)를 공격해 카드 정보를 빼낸 후 해외에서 부정 인출을 시도했을 때랑 비슷한 수법이다. 국가 지원 해커가 민간 사이버 범죄자처럼 기업을 공격해 금전을 빼내는데 혈안이다.

국내 POS를 노린 라자루스 악성코드가 발견됐다. GettyImagesBank
국내 POS를 노린 라자루스 악성코드가 발견됐다. GettyImagesBank

22일 금융당국과 보안업계에 따르면 국내 POS를 겨냥한 악성코드가 발견돼 관계기관이 조사에 들어갔다. 금융보안원은 금융회사에 이상거래탐지시스템(FDS) 모니터링 강화를 공지했다.

금융감독원 관계자는 “경찰이 조사를 시작했다”면서 “신용카드 정보 등이 유출됐는지 여부는 아직 확인되지 않았다”고 밝혔다.

해커는 세탁관련 업소 POS에 악성코드 공격을 감행했다. 해당 기업은 전국에 가맹점이 있다. 한 POS 전문가는 “지난해 POS 보안 대책이 나온 후 교체한 신형 단말기는 중요 정보가 모두 암호화된다”면서 “교체하지 못한 구형 POS가 공격을 받아 정보를 유출했을 가능성이 크다”고 설명했다.

미국 보안 기업 프루프포인트는 해킹그룹 라자루스가 한국 POS 기기를 공격했다고 밝혔다. 라자루스는 2014년 미국 소니픽처스를 공격했던 북한 해킹 그룹이다. 프루프포인트는 라자루스가 가상화폐 탈취에 쓴 '파워라탄크바(PowerRatankba)' 공격을 확인하면서 POS를 노린 '라탄크바POS(RatankbaPOS)'도 발견했다.

라자루스 해킹 그룹 공격 흐름도(자료:프루프포인트)
라자루스 해킹 그룹 공격 흐름도(자료:프루프포인트)

소니픽처스와 한국수력원자력 도면 유출 사고 등에 관여했던 라자루스는 최근 금전 이익을 얻는 해킹에 집중한다. 북한은 핵실험과 미사일 도발 등으로 국제 사회에서 경제 제재를 받자 은행과 가상화폐거래소 해킹으로 외화벌이를 한다.

북한은 지난 3월 국내 ATM 밴 사업자를 해킹해 63대 ATM에 악성프로그램을 유포했다. 23만8073건의 카드와 계좌번호, 주민등록번호 등을 유출했다. 해당 정보를 국내외에 유통한 후 복제 카드를 만들어 현금서비스를 받거나 대금결제에 썼다. 1억264만원에 달하는 피해가 발생했다. 이번 POS 공격이 성공해 정보가 유출됐다면 ATM 때와 유사한 피해가 예상된다.
금감원 관계자는 “이번 사고는 제도권 내에 있는 VAN이나 카드사가 정보를 유출한 것은 아니다”라면서 “POS 기기에서 일부 정보가 유출된 것으로 추정된다”고 설명했다. 그는 “특정 가맹점 POS에서 발생한 사고로 금감원 재량은 아니다”라면서 “경찰에서 수사 협조를 구하면 돕겠다”고 덧붙였다.

GettyimagesBank
GettyimagesBank

김인순 보안 전문기자 insoon@etnews.com, 길재식 금융산업 전문기자 osolgil@etnews.com