침해사고/위협동향

지원 종료 윈도XP 결제단말기 악성코드 감염 “20여건 침해사고 신고”

최민지
[디지털데일리 최민지기자] 한국인터넷진흥원(KISA)은 지난 1일 22개 결제단말기(PoS) 업체로부터 침해사고 신고 접수를 받고 침해사고 대응에 나섰다고 9일 밝혔다.

약 10만대 이상의 POS가 작동 불능 상태에 빠진 것으로 알려진 이번 사태에 대해 KISA와 금융감독원은 실제 감염대수는 이보다 훨씬 적은 수치라는 입장이다. 하지만, 정확한 감염대수에 대해서는 함구했다. 다만, 관련해 KISA에 접수된 관련 신고건은 20여건으로 확인됐다.

KISA는 지난 3일부터 PoS 단말기 침해사고 현장에서 악성코드 4종을 채증했고 악성코드 명령제어서버(C&C) 접속경로를 차단했으며 백신사에 악성코드 샘플을 공유했다. 해당 악성코드는 원격제어와 가상통화 채굴 등의 기능을 갖고 있었다.

지난 2014년 공식 지원이 종료된 윈도XP를 사용하고 있는 PoS 기기가 이번 악성코드 공격에 주로 감염됐다. 새로운 운영체제(OS)를 적용한 곳은 이번 공격에 의한 피해를 입지 않았다. 또, 디도스(DDoS) 공격과 KT 모뎀에 의한 문제는 아니라는 판단이다.

현재 KISA는 이번 사건에 대한 원인분석을 진행하고 피해 확산 방지를 위한 기술을 지원하고 있다.

이동근 KISA 침해사고분석단장은 “윈도XP는 지원이 끝났다 보니 보안패치 업데이트에 소홀할 수 있어 가능하면 최신 OS로 바꾸는 것이 좋다”며 “이번에도 최신 OS를 적용한 곳은 악성코드에 감염되지 않았다”고 말했다.

이어 “보안이 허술하다 보니 여러 종류의 악성코드가 발견됐고, 이 중 하나가 가상화폐 채굴을 위한 기능이 있었다”며 “10만대 PoS 기기 피해, 디도스 공격, KT 모뎀 문제 등은 사실과 다르다”고 강조했다.

이번 악성코드로 인해 피해를 입은 PoS기기들은 통신네트워크에 어려움을 겪어 결제불능에 빠졌다. 현재 피해 확산은 멈췄으며 PoS 단말기 결제불가 건은 금융감독기관에서 대응 중이다.

KT 또한 이번 악성코드 감염 관련성을 전면 부인했다. KT 회선의 문제가 아니라 마이크로소프트(MS) 업데이트 지원이 끝나 보안에 취약한 윈도XP의 보안문제가 원인이라고 설명했다.

KT는 지난주 KISA로부터 PoS 악성코드 관련 주의사항을 전달받은 후 5일경 고객신고를 접수받고 필요한 조치를 수행하기 시작했다고 설명했다. 각 지점마다 다양한 서비스들이 연동돼 있는 만큼 단계적 차단을 하고 있다.

KT 측은 “결제단말기 오류 현상은 윈도XP를 사용하는 PC에 연결된 경우에만 발생하고 있다”며 “KT는 악성코드 유포사이트 등 유해IP·URL 차단을 조치했으며, 고객피해 확산을 막기 위해 악성코드가 전파되는 해당 포트를 단계적으로 차단하고 있다”고 덧붙였다.

또 “평소보다 지난주 고객 신고 접수가 소폭 늘긴 했으나 폭증했다고 말할 수준은 아니다”라며 “PoS 사용 고객 중 KT 가입자가 많아 악성코드에 감염된 수가 많을 수 있지만, KT 회선 문제는 아니다”고 선을 그었다.

<최민지 기자>cmj@ddaily.co.kr
최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널