#5. POS기를 해킹했습니다. | 고인물의 회상

**경고**:

📚 시리즈 몰아보기

0. 들어가기에 앞서서

오래전부터 POS기 관련된 보안 이슈가 종종 올라오곤 한다. 아래와 같이 낮은 버전의 운영체제를 사용함으로써 발생하는 보안이슈와 POS기의 취약점들을 이용한 신용카드 정보를 유출하는 이슈 등, 엄청 다양하게 나온다. 

여기서 충격적인 사실은 이러한 이슈들은 10년 전인 2013년도에도 똑같은 문제가 있었다는 것이다. 그 때는 B.O.B라는 단체에 소속되어 POS기 취약점 조사를 주제로 많은 취약점이 도출되었고 조치요청까지 진행을 했다. 하지만 여전히 이러한 실태가 이어지고 있는게 현실이다.

이번 글에서는 그 당시에 POS기 취약점을 찾는 프로젝트를 하면서 있었던 일들을 들려주고자 한다.

1. 프로젝트를 시작하다. 

BOB

10년 전의 나는 BoB(Best Of Best)라는 차세대보안리더양성프로그램에 멘티(Mentee) 신분으로 몸을 담고 있었다. 방학기간 동안에는 다양한 교육을 듣고 학기 중에는 해킹/보안 프로젝트를 하나 잡고 4~5개월간 진행했었다. 물론, BoB에 집중하고자 대학교는 잠시 휴학한 상태였고, BoB의 프로젝트에만 100% 몰두할 수 있었던 시기였다.

팀빌딩

프로젝트를 수행하기에 앞서 하나의 팀을 구성해야 했다. 어느 팀에서는 각 파트별로 잘하는 친구들이 모여서 하나의 팀을 만들기도 했다.  다른 파트에 소속된 멘티들도 한 팀으로 합치면 좋겠다라는 생각은 한 켠에 있었지만 그러진 않았다. 

결국 나는 같이 교육을 받으면서 친해진 친구들과 하나의 팀을 구성하기로 했다. 모두들 취약점을 귀신같이 찾아내거나 하나의 서비스를 분석하고 이해하는데 출중한 친구들이었다. 

여담이지만 그 날의 친구들은 현재, 각 기업에서 꿋꿋하게 자기의 역할을 해내고 있다고. :)

주제 선정

처음에는 딱히 하고 싶은 주제가 없었다. 정확히는 아이디어가 부족했을지도 모른다. 백신관련 기술에 대해서도 고민을 해보고, 기타 다른 서비스의 취약점을 찾는 것도 고민을 해보았지만 Accept 받기가 쉽지 않았다. (*참고: 프로젝트가 정해지면 담당 멘토님을 섭외해야 함. 이 과정에서 수락을 받지 못함)

그러던 중, 한 멘토님이 여러 멘티들에게 POS기의 취약점을 찾고 싶다면 연락을 달라고 했다. 우리 팀원들은 꽂혀버렸다. 주제가 너무 신선했던 것. 평소에 접해보지도 못한 시스템이거니와 멘토님이 제안을 던져주었다보니 담당 멘토님도 따로 구할 필요가 없기 때문이다.

2. Investigating POS vulnerabilities

영업 시작

우리 팀은 BOB측에 요청하여 POS기기를 받을 수 있었다. 아래 이미지와 같이 진짜 POS기였다. BOB 센터의 한 쪽 구석에 위치시켜두고 전원을 켜보니, 일반 매장에서 사용하는 것과 다름이 없었다. 이것저것 눌러보기도 하고, 윈도우 화면을 들락날락 거리기도 한다.

*참고: 위 이미지에는 특정 브랜드의 POS기만 찍혀 있지만, 본문 하단에 언급되는 취약점은 다양한 브랜드의 취약점 입니다. 특정 하나의 브랜드가 '취약하네!'가 아니라 POS기 시장의 보안이 이랬었구나정도로 봐주세요 :)

찌르는데로 나오는 취약점들

모의해킹이나 취약점 진단에서는 다양한 절차를 수행하는데, 그 중 하나가 포트스캐닝이다. 이는 외부에서 해당 시스템으로 접근할 수 있는 통로가 열렸는지 닫혔는지를 확인하는 단계이다. 이번 POS기 또한 동일하게 포트 정보를 확인해야 했다.