2015.10.12

삼성 페이 겨냥한 해커, 고객 데이터 수집 아닌 개인 추적용 해킹일 수도

Stephen Lawson | IDG News Service
삼성의 자회사인 루프페이(LoopPay)에 침투한 해커들은 고객 데이터를 팔아 이윤을 추구하기보다는 첩보 목적일 가능성이 높다.


이미지 출처 : Mikael Ricknas

한 보안 애널리스트는 "루프페이에서 일어난 보안 침해사고는 아마도 이익을 위한 고객 데이터 수집보다는 첩보와 좀더 관련이 있는 것으로 보인다"며, "최악의 상황은 아직 오지 않았다"고 말했다.

삼성은 삼성 페이(Samsung Pay) 서비스에 사용한 기술을 위해 지난 2월 인수한 루프페이에 대한 공격을 인지하고 있었다.

삼성에 따르면, 이번 해킹을 통해 해커들은 루프페이의 사무실 네트워크에만 침투했을 뿐 삼성 페이 시스템에는 도달하지 못했다. 해킹당한 서버들은 격리되어 있었으며, 위험에 놓인 개인적인 지불 결제 정보는 없다고.

그러나 위협 탐지 소프트웨어 업체 트립와이어(TripWire) 수석 보안 애널리스트 켄 웨스틴은 "뉴욕타임스가 보도한 대로, 이번 사고가 중국에 있는 악명높은 코도소 그룹(Codoso Group)에 의한 것이라면, 이는 고객 데이터를 훔칠 목적이 아니었다"고 말했다.

코도소 그룹은 주요 국방, 금융업체, 그리고 중국에 있는 소수민족 위구르족과 연관되어 있는 웹사이트를 포함해 다른 조직들에 대한 대규모 공격과 연계되어 있으며 중국 정부와 연관이 있는 것으로 알려져 있다.

2013년 파이어아이가 처음으로 발견한 코도소 그룹은 선샵 그룹이라고 부르기도 한다. 이 그룹은 초기에는 중국에 비판적인 조직이나 인물에 대해 사이버 공격을 감행하고 상금을 받던 그룹이었다. 웹 사이트를 해킹해 방문자들에게 악성코드를 뿌리는 공격을 하던 이 그룹은 최근 많은 발전을 이뤘다.

미리 원하는 정보를 정해놓고 스피어피싱 공격을 통한 고도의 표적형 공격 방식으로 복수의 제로데이 취약점을 활용하는 상당한 공격 수준으로 발전한 것이다.

웨스틴은 "이 해커들은 개인 정보를 수집할 수 있는 권한을 갖기 위해 아마도 루프페이의 코드에 접속하길 원했던 것 같다"고 추측했다.

홀드 시큐리티 CEO 알렉 홀든도 이에 동의했다. 홀든은 "코도소 그룹은 종국적으로 누군가가 무엇을 언제 구매했는지 알기를 원했을 지 모른다. 예를 들어, 한 중요한 개인은 LA 내 커피숍에서 한잔의 커피를 구매했다면 잠입자는 이를 통해 한 개인의 이동경로를 파악할 수 있다"고 설명했다.

그리고 루프페이는 이번 특별한 해킹에 대해 상세하게 조사하고 있겠지만, 보안 전문가들이 소위 말하는 APT(advanced persistent threat)라는 것에 당한 듯하다. 이와 같은 공격 유형은 조용히 뒤로 들어와 대상의 인프라스트럭처 가운데 약한 곳을 찾고 향후 추출을 위해 준비 작업을 한다.

웨스틴은 "삼성은 이런 점을 우려해야 한다"고 말했다. "그러나 이 공격으로 삼성 페이를 사용하는 고객들을 막아서는 안된다"며, "새로운 유형의 지불 서비스를 사용하는 것에 대해 조심스럽다. 하지만 이번 사건이 이 서비스를 사용하지 않는 이유가 되진 않는다"고 말했다.

루프페이의 네트워크는 지난 2월에 침입 당했다. 이는 삼성이 매사추세츠의 스타트업인 루프페이를 2억 5,000만 달러에 인수하기 전 시점이다. 타임즈는 "이 해커들은 8월 말, 루프페이가 이 침해 사실을 발견하기 전까지 약 5개월 동안 네트워크 내에 잠입해 있었다"고 말했다.

이는 루프페이가 강력한 침입 방지 툴을 갖고 있을 수 있지만 탐지 역량에서 취약했다는 걸 나타낸다.

웨스틴은 "가장 지능적인 해커들은 식별할 수 있는 악성코드 자체를 사용하지 않는다"며, "이들은 표적의 자체 시스템이 갖고 있는, 예를 들면 윈도우 상의 파워셸(Powershell)과 같은 익스플로잇 요소를 사용한다"고 설명했다.

웨스틴은 "수많은 기업들이 현재 아주 큰 과제를 안고 있다"고 경고했다.

삼성 페이는 전통적인 POS(point-of-sale)에서 모바일 기기로 무선 구매를 할 수 있는 가장 최신 플랫폼이다. 삼성에 따르면, 애플페이와 같이 각각의 지불 결제에는 동일한 카드 번호를 사용하지 않기 때문에 전통적인 신용카드보다 안전하게 설계됐다. 대신 이 시스템은 암호화된 토큰과 한번만 사용할 수 있는 인증 정보를 사용한다.

삼성은 모바일 기기에서 마그네틱 선 카드를 대신할 수 있도록 하는 마그네틱 보안 전송(Magnetic Secure Transmission) 기술을 개발한 루프페이를 인수했다. 이 기술은 오래된 지불 결제 시스템에서 삼성 페이를 할 수 있도록 돕는다. editor@itworld.co.kr



2015.10.12

삼성 페이 겨냥한 해커, 고객 데이터 수집 아닌 개인 추적용 해킹일 수도

Stephen Lawson | IDG News Service
삼성의 자회사인 루프페이(LoopPay)에 침투한 해커들은 고객 데이터를 팔아 이윤을 추구하기보다는 첩보 목적일 가능성이 높다.


이미지 출처 : Mikael Ricknas

한 보안 애널리스트는 "루프페이에서 일어난 보안 침해사고는 아마도 이익을 위한 고객 데이터 수집보다는 첩보와 좀더 관련이 있는 것으로 보인다"며, "최악의 상황은 아직 오지 않았다"고 말했다.

삼성은 삼성 페이(Samsung Pay) 서비스에 사용한 기술을 위해 지난 2월 인수한 루프페이에 대한 공격을 인지하고 있었다.

삼성에 따르면, 이번 해킹을 통해 해커들은 루프페이의 사무실 네트워크에만 침투했을 뿐 삼성 페이 시스템에는 도달하지 못했다. 해킹당한 서버들은 격리되어 있었으며, 위험에 놓인 개인적인 지불 결제 정보는 없다고.

그러나 위협 탐지 소프트웨어 업체 트립와이어(TripWire) 수석 보안 애널리스트 켄 웨스틴은 "뉴욕타임스가 보도한 대로, 이번 사고가 중국에 있는 악명높은 코도소 그룹(Codoso Group)에 의한 것이라면, 이는 고객 데이터를 훔칠 목적이 아니었다"고 말했다.

코도소 그룹은 주요 국방, 금융업체, 그리고 중국에 있는 소수민족 위구르족과 연관되어 있는 웹사이트를 포함해 다른 조직들에 대한 대규모 공격과 연계되어 있으며 중국 정부와 연관이 있는 것으로 알려져 있다.

2013년 파이어아이가 처음으로 발견한 코도소 그룹은 선샵 그룹이라고 부르기도 한다. 이 그룹은 초기에는 중국에 비판적인 조직이나 인물에 대해 사이버 공격을 감행하고 상금을 받던 그룹이었다. 웹 사이트를 해킹해 방문자들에게 악성코드를 뿌리는 공격을 하던 이 그룹은 최근 많은 발전을 이뤘다.

미리 원하는 정보를 정해놓고 스피어피싱 공격을 통한 고도의 표적형 공격 방식으로 복수의 제로데이 취약점을 활용하는 상당한 공격 수준으로 발전한 것이다.

웨스틴은 "이 해커들은 개인 정보를 수집할 수 있는 권한을 갖기 위해 아마도 루프페이의 코드에 접속하길 원했던 것 같다"고 추측했다.

홀드 시큐리티 CEO 알렉 홀든도 이에 동의했다. 홀든은 "코도소 그룹은 종국적으로 누군가가 무엇을 언제 구매했는지 알기를 원했을 지 모른다. 예를 들어, 한 중요한 개인은 LA 내 커피숍에서 한잔의 커피를 구매했다면 잠입자는 이를 통해 한 개인의 이동경로를 파악할 수 있다"고 설명했다.

그리고 루프페이는 이번 특별한 해킹에 대해 상세하게 조사하고 있겠지만, 보안 전문가들이 소위 말하는 APT(advanced persistent threat)라는 것에 당한 듯하다. 이와 같은 공격 유형은 조용히 뒤로 들어와 대상의 인프라스트럭처 가운데 약한 곳을 찾고 향후 추출을 위해 준비 작업을 한다.

웨스틴은 "삼성은 이런 점을 우려해야 한다"고 말했다. "그러나 이 공격으로 삼성 페이를 사용하는 고객들을 막아서는 안된다"며, "새로운 유형의 지불 서비스를 사용하는 것에 대해 조심스럽다. 하지만 이번 사건이 이 서비스를 사용하지 않는 이유가 되진 않는다"고 말했다.

루프페이의 네트워크는 지난 2월에 침입 당했다. 이는 삼성이 매사추세츠의 스타트업인 루프페이를 2억 5,000만 달러에 인수하기 전 시점이다. 타임즈는 "이 해커들은 8월 말, 루프페이가 이 침해 사실을 발견하기 전까지 약 5개월 동안 네트워크 내에 잠입해 있었다"고 말했다.

이는 루프페이가 강력한 침입 방지 툴을 갖고 있을 수 있지만 탐지 역량에서 취약했다는 걸 나타낸다.

웨스틴은 "가장 지능적인 해커들은 식별할 수 있는 악성코드 자체를 사용하지 않는다"며, "이들은 표적의 자체 시스템이 갖고 있는, 예를 들면 윈도우 상의 파워셸(Powershell)과 같은 익스플로잇 요소를 사용한다"고 설명했다.

웨스틴은 "수많은 기업들이 현재 아주 큰 과제를 안고 있다"고 경고했다.

삼성 페이는 전통적인 POS(point-of-sale)에서 모바일 기기로 무선 구매를 할 수 있는 가장 최신 플랫폼이다. 삼성에 따르면, 애플페이와 같이 각각의 지불 결제에는 동일한 카드 번호를 사용하지 않기 때문에 전통적인 신용카드보다 안전하게 설계됐다. 대신 이 시스템은 암호화된 토큰과 한번만 사용할 수 있는 인증 정보를 사용한다.

삼성은 모바일 기기에서 마그네틱 선 카드를 대신할 수 있도록 하는 마그네틱 보안 전송(Magnetic Secure Transmission) 기술을 개발한 루프페이를 인수했다. 이 기술은 오래된 지불 결제 시스템에서 삼성 페이를 할 수 있도록 돕는다. editor@itworld.co.kr

X