시만텍, 산업용 윈도우XP 보안 취약점 대응 방안 제시

[보안뉴스 김태형] 윈도우 XP 서비스 중단 이후 대부분 해당 OS 기반으로 운영되는  ATM 및 POS를 겨냥한 보안위협 대비가 시급하다. 이에 대응하기 위해서는 최신 OS로 업그레이드하거나 향후 예상되는 보안위협에 대비할 수 있는 보안 전략과 시스템은 필수다.

시만텍코리아(대표 조원영, www.symantec.co.kr)은 지난 27일 간담회를 갖고 오는 4월 8일로 다가온 윈도우XP 서비스 중단을 앞두고 이에 따른 다양한 보안 위협을 경고하고 대응방안을 제시했다.

이날 시만텍코리아 윤광택 이사는 “시만텍의 딥사이트(DeepSight) 데이터베이스에 따르면 2013년 1월부터 약 1년 동안 총 281개에 달하는 XP 취약점이 꾸준히 발견되었다. 서비스가 종료되는 4월 8일 이후부터 마이크로소프트가 더 이상 패치를 제공하지 않게 되면 윈도우즈 XP 기반의 시스템들은 향후 새롭게 발견되는 취약점에 대해 무방비로 노출되어 사이버 범죄의 대상으로서 더 큰 보안 위협에 직면하게 될 것으로 예상된다”고 설명했다.

특히 전 세계 95% 이상이 윈도우 XP 기반으로 운영되는 산업용 시스템이나 ATM(현금자동입출금기), 그리고 대부분 윈도우즈 XP 임베디드 OS를 활용하고 있는 POS(매장관리시스템)에 대한 대비가 시급하다고 지적했다.

시만텍은 윈도우 XP 지원이 종료된 이후에도 엔드포인트 및 기업 솔루션 고객들을 대상으로 한 서비스 지원을 계속할 예정이지만, 윈도우 XP 고객들이 최신 OS로 업그레이드 하는 것은 매우 중요하며 향후 예상되는 보안 위협에 대응하기 위해 최적화된 보안 솔루션을 사용할 것을 권장했다.

ATM 및 POS를 겨냥한 보안 위협으로부터 대비하기 위해서는 △방화벽이나 침입방지시스템과 같은 기업망을 위한 네트워크 보안 강화, △엔드포인트를 보호하기 위한 강력한 보안 소프트웨어의 설치 및 철저한 운영, △데이터 암호화, △비인가된 프로세스의 실행을 방지하는 솔루션 등 다양한 보안 요소를 활용할 수 있으며, 무엇보다 하나의 강력한 보안 툴을 사용하기 보다는 다양한 계층에 정보 보호 및 보안 시스템을 갖추는 것이 가장 우선되어야 한다.

윤 이사는 특히 “시만텍은 이미 알려진 위협에 대한 보호를 제공하는 엔드포인트 솔루션은 물론 알려지지 않은 위협에 대비할 수 있는 사전 대응 관점에서의 솔루션을 병행해 사용함으로써 기업 정보를 안전하게 보호할 수 있다”고 강조했다.

지난 1월 블룸버그비즈니스위크는 전 세계 95% 이상의 ATM이 윈도우 XP 기반으로 운영되고 있어 서비스 중단을 앞두고 이에 대한 보안 이슈를 지적한 바 있다.

국내도 마찬가지로 지난해 5월 금융감독원이 조사한 자료에 의하면 전체 8만대 CD/ATM 가운데 97.6%인 7만8000대가 윈도우 XP를 사용하고 있는 것으로 나타났으며, 일부 은행은 하위 버전인 윈도우 2000과 윈도우즈 CE 6.0으로 운영하고 있는 것으로 조사됐다.

윤광택 이사는 “시만텍이 지난 2013년 8월 31일에 ATM을 대상으로 하는 사이버 공격을 감지하고 이에 대한 조사를 실시한 결과 해킹된 ATM 기기가 백도어를 설치하는 트로이목마인 Backdoor.Ploutus에 감염된 것으로 확인되었다”면서 “해당 악성코드는 ATM 기기의 CD-ROM 드라이브에 새 부팅 디스크를 직접 삽입하는 방식으로 전염되며, 해커는 악성코드에 감염된 ATM의 소프트웨어와 연동되도록 만들어진 인터페이스를 사용해 자동지급기 내 현금 카세트에 든 돈을 쉽게 인출할 수 있다. 놀라운 점은 별도의 외부장치를 설치하지 않고도 피해자가 ATM 키패드를 통해 입력한 중요한 정보를 모두 빼낼 수 있었다는 점이다”라고 설명했다.

그는 “윈도우 XP 종료를 앞둔 현재 상황에서 ATM 시스템을 안전하게 운영하기 위해서는 최신 윈도우 7을 탑재한 ATM으로 교체하거나 윈도우 XP를 사용하는 고사양 ATM의 경우 윈도우즈 7 OS로 전환하고, 윈도우 7을 지원하지 못하는 저사양 ATM의 경우 교체 전까지 엔드포인트 및 비인가 프로세스의 실행을 원천적으로 봉쇄하는 정책기반 보안솔루션 적용 후 교체 시까지 사용하는 등의 방법을 권장한다”고 덧붙였다.

한편 POS(Point of Sales) 단말기는 일반적으로 소비자가 일반 매장에서 재화 및 서비스를 구매할 때 이에 대한 대금을 결제하는 판매시점관리 시스템을 의미한다. 우리가 대형마트 등에서 흔히 접하는 현대식 POS는 대부분 판매, 환불, 상품권, 할인 등 다양한 소비자 정보를 처리할 수 있는 일체형 시스템으로 구성되어 있다.

현재 POS 시스템 상에 기록되는 전체 매출의 약 60%가 신용카드나 직불카드를 통해 이루어지고 있지만, 다양한 형태의 결재방식을 지원하기 때문에 보안 측면에서는 보다 각별한 주의가 필요하다. 현존하는 대부분의 POS 시스템이 윈도우 XP 임베디드 OS를 활용하고 있어 윈도우 XP 업데이트 지원이 종료되면 향후 보안 취약점에 노출될 가능성이 높다.

POS 시스템을 공격하는 경로를 추적해보면, 스피어피싱 또는 취약서버를 경유해 기업 내부에 침투한 후 네트워크를 검색해 POS 공격 경로를 검색하고, 데이터 유출을 위한 악성코드를 심는다. 이후 공격자는 지속적으로 잠입해 카드번호를 축적하며, 수천대의 POS로부터 수집되는 카드정보를 위해 내부 시스템을 장악한 이후 외부로 유출하게 된다.

POS는 사전에 필요한 애플리케이션이 설치되어 운영되는 시스템으로 프로세싱 및 스토리지 용량이 많이 필요하지 않으며, 인터넷 사용을 제한해 운영이 가능하다. 이러한 특성을 바탕으로 사전에 인가된 애플리케이션만 실행을 허용하고 이 외에는 모두 실행이 불가능하도록 하는 시스템 락다운 기능을 제공하는 보안 솔루션의 사용을 통해 시스템을 보호할 수 있다.

시만텍코리아 조원영 대표는 “윈도우 XP서비스 종료에 따른 다양한 보안위협이 예상되는 만큼 각 시스템에 맞는 철저한 대비가 필요하다. 특히 이미 알려진 보안위협 뿐만 아니라 알려지지 않은 위협에도 선제적으로 대응할 수 있는 방안을 수립해 기업 정보를 안전하게 보호해야한다”며, “시만텍은 개인부터 대기업에 이르기까지 고객의 모든 정보를 보호하는데 총력을 기울일 것이다”라고 강조했다.

이를 위해 시만텍은 시만텍 크리티컬 시스템 프로텍션(Symantec Critical System Protection)을 출시했다. 이 솔루션은 정책 및 화이트리스트 기반으로 알려지지 않은 위협에 대한 서버 환경을 보호해준다.

특히 ‘시만텍 크리티컬 시스템 프로텍션’은 호스트 기반 침입 탐지(HIDS) 및 호스트 기반 침입 차단(HIPS)을 통해 검증된 서버 보안을 제공하는 ATM, POS 및 제조설비 시스템에 특성화된 통합 솔루션으로 비인가된 프로세스에 대해서는 실행을 방지하여 악성코드의 유입에 따른 실행 및 알려지지 않은 보안 위협으로부터 시스템을 보호할 수 있다.

파일, 프로세스, 레지스트리, 서비스에 대한 각각의 정의를 통해 비인가된 실행, 복사, 삭제, 변조를 차단해 악의적인 행위의 최초 유입 및 침입 단계에서 원천 차단을 수행한다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>