CGV 무인발권기 사용하지마세요. > free

극장 무인발권기, 해킹에 무방비 노출!!

오류 카드 긁으면 발권기가 윈도우 창으로 변신

원격관리 프로그램 사용해 발권기 관리권한 획득 가능

수많은 고객 개인정보 및 금융정보 모두 빠져나갈 수 있다!

 

<시큐어연구회 이경태 회장. 국내 무인발권기의 해킹 위험에 대해 설명하고 있다.> ⓒ보안뉴스

해킹과 보안연구단체 시큐어연구회(회장 이경태)는 얼마전 언론을 통해 윈도우 기반의 무인자동발권기에 대한 해킹 가능성을 제기하면서 큰 사회적 이슈를 만들어낸 바 있다.

이 문제 제기에 대해 직접적인 반응을 보인 곳이 바로 행정자치부였다. 행정자치부는 현재 주민등록등ㆍ초본 자동발급기를 일반인들을 위해 각 구청이나 동사무소 혹은 지하철역 내에 설치한 상태다. 그래서 더욱 이 문제에 즉각적인 반응을 보였고, 향후 무인발급기에 문제가 생기지 않도록 현재 조치중에 있는 것으로 알려져 있다.

시큐어연구회 이경태 회장은 “다양한 실험을 통해 윈도우 기반 무인발권기에 치명적인 결함이 있다는 것을 밝혀냈다. 현재 행정자치부 민원서류 무인발급기 뿐만 아니라, 극장 매표소 앞에 설치해 놓은 무인발권기, 기차역에서 볼 수 있는 열차표 무인발급기 모두가 윈도우 기반으로 돼 있다. 그래서 해킹이나 보안에 약간의 지식만 있다면 이들 모두 해킹이 가능하다”고 말했다.

이 회장은 “다행히 행자부는 이 사실이 공개된 후, 발빠른 대응을 하고 있지만 문제점이 있다고 지목된 CJ CGV 측은 아직까지 별다른 반응이 없어 앞으로 논란의 여지가 있을 것 같다”고 덧붙였다.

 

<CJ CGV 측은 무인발급기 해킹과 관련 좀 더 철저한 대응을 해야할 필요가 있다고 이경태 회장은 말한다> ⓒ보안뉴스

CGV 무인발권기 해킹은 다음과 같이 이루어진다. 이용자가 신용카드나 OK 캐쉬백 카드 등을 사용해 발권을 할 때, 해당 카드를 발권기 카드 리더기에 긁게 된다. 이때 해당 카드에 오류가 있다면 애플리케이션이 다운되면서 발권기 화면이 윈도우 초기 화면으로 넘어가게 된다. 이때 악의적인 사용자라면 윈도우 화면에서 간단한 조작으로 화상 키보드를 띄울 수 있다. 이렇게 되면 게임 아웃이다. 화상 키보드는 윈도우에 디폴트 값으로 지정돼 있다. 

 

<윈도우 기반의 현금지급기에도 문제가 있다. 시큐어연구회 제공> ⓒ보안뉴스

발권기는 이제 하나의 윈도우 창이 열린 PC로 둔갑하게 된다. 그것도 CGV 내부망에 연결된 PC인 채로 말이다. 악의적 해커는 근거리에 자신의 노트북을 두고 원격제어 프로그램을 사용해 발권기 PC의 관리자 권한을 자신의 노트북으로 옮기는 작업을 하게 된다. 이렇게 되면 해당 발권기의 모든 권한이 해커의 노트북으로 이양되게 된다는 것이다. 이 조작은 보안이나 해킹을 공부한 사람이라면 누구나 쉽게 그리고 아주 순식간에 해낼 수 있다고 한다.

이경태 회장은 “만약, 해커 노트북으로 발권기 PC의 모든 권한이 넘어가면 어떻게 되겠는가? 해커는 조작을 통해 임의로 발권을 통제할 수 있게 된다. 또, 그 발권기 내부에 숨겨진 수많은 고객들의 정보가 해커의 손에 넘어가게 된다. 이것은 무엇을 말하는가. 바로 고객이 사용하는 카드의 정보가 넘어가는 것이다. 카드 계좌번호와 주민번호, 비밀번호, 유효기간까지 고스란히 해커의 손에 넘어갈 수도 있다”고 설명했다.

한편, 해킹을 당한 발권기의 권한을 승인받았다는 것은 CJ CGV 내부망에 바로 접속이 가능하다는 것을 의미한다. 그래서 해커는 CJ CGV 내부에 있는 모든 정보를 빼내갈 수도 있다.

또한, 더욱 문제가 되는 것은 고객들의 금융정보가 빠져나갈 수 있다는 점이다. 이를 이용해 금융사고가 발생할 수 도 있다. 이렇게 볼 때, 단순히 발권기 한 대의 해킹이라고만 간과할 수가 없는 상황이다.

이 회장은 “그렇게 되면 해커의 노트북의 IP는 해킹당한 발권기의 IP가 뜨기 때문에 해커는 이를 이용해 더욱 다양한 해킹을 시도할 수 있다. 관공서나 국가기관, 금융기관 등을 해킹한다 하더라도 수사기관이 이를 조사해보지만 최종 IP는 그 발권기로 나오기 때문에 수사도 힘들어 진다”고 말했다.

그렇다면 발권기에 오류를 유발시키는 카드는 어떤 카드인가. 이 회장은 “이 부분은 현재 마그네틱카드와 IC카드 모두 가능하다. 카드 제조에 지식이 있는 사람이라면 충분히 발권기가 오작동을 일으킬 수 있는 카드를 만들어낼 수 있다. 이는 연구회 실험을 통해 증명된 사실”이라고 설명했다.

CGV 맴버쉽 카드, OK 캐쉬백 카드, 각종 신용카드 등 현재 우리가 사용하는 모든 카드에 오류를 발생해 실험해본 결과 CGV 발권기에 심각한 결함이 발견된 것이다.

실제로 몇몇 커뮤니티 게시판에는 발권기가 윈도우 창으로 떠 있었다는 네티즌들의 글이 올라와 있는 상태고, 윈도우 창이 떠있는 상태에서 몇가지 작업도 수행해봤다는 글까지 올라온 상황이다. 더군다나 시큐어연구회에서 공식적인 실험을 통해 이를 밝혀낸 것이다.

이 회장은 “무인발권기에 대한 해킹 기법을 밝혀낸 것은 처음있는 일이다. 악의적 해커에 의해 밝혀지고 이것이 악의적으로 사용됐다면 엄청난 사회적 문제를 발생시킬 뻔했다. CJ 측은 행정자치부처럼 발빠른 대응을 해야 한다”고 강조했다.

[길민권 기자(reporter21@boannews.com)]