보안업체 파이어아이 연구원들은 최근 사이버범죄자들은 구인 공고를 가장한 사기 이메일을 사용한다고 밝혔다.
이 이메일은 사용자를 속여 실제로 악의적인 매크로가 담겨있는 워드 문서인 첨부파일을 실행하게끔 한다. 이 매크로는 원격 서버로부터 추가 악성코드를 다운로드하게끔 프로그램을 설치한다.
파이어아이 연구원들은 이 추가 프로그램에서 POS 시스템으로부터 지불 카드 데이터를 훔치는 새로운 메모리 스크래핑 악성코드를 확인했다. 파이어아이 측은 이 새로운 위협을 니트러브POS(NitlovePOS)라고 명명했다.
지난 수년동안 POS 악성코드는 일상적인 일이 됐으며 가장 큰 신용카드 유출 사건으로 이어졌다. 이 악의적인 프로그램 류는 2013년 말 타깃(Target)으로부터 4,000만, 지난해 홈 디포(Home Depot)로부터 5,600만 지불 카드 기록을 훔치는 데 사용됐다.
한때 이 악성코드는 POS 터미널에 설치되어 카드 리더기를 거쳐 소매 애플리케이션으로 지나가는 카드 데이터의 시스템 메모리를 스캔한다. 사이버범죄자들은 메모리스크래핑을 통해 훔친 데이터를 복제 카드를 만드는데 사용할 수 있다.
일반적으로 공격자들은 훔치거나 쉽게 추측이 가능한 원격접속 신원 정보를 사용해 POS 시스템을 감염시킨다. 이는 같은 네트워크 상의 다른 컴퓨터에 접근하기 위한 또다른 수단으로 사용된다.
그러나 스팸을 통해 배포되는 무차별적인 범죄행위에 니트러브POS(NitlovePOS)와 같은 POS 악성코드는 흔치 않다.
사이버범죄자들은 회사의 직원들이 자신들의 이메일을 확인하거나 다른 위험한 행동들을 하는데 POS 시스템을 사용한다는 점을 악용하려고 한다. 기업들은 직원들에게 모범적인 보안 사례들을 따르도록 교육시켜 POS을 사용해 웹 서핑을 하거나 이메일을 확인하고 동영상 게임을 하는 일이 없도록 해야한다.
지난 달 보안업체 트러스트웨이브 연구원들은 펑키(Punkey)라 불리우는 메모리 스크래핑 메모리 프로그램에 대응해 자체 시스템들을 보호하는 방법을 블로그에 게재한 바 있다. editor@itworld.co.kr