키오스크(KIOSK)는 정부기관이나 은행, 백화점, 전시장, 식당 등 공공장소에 설치된 터치스크린 방식의 무인 정보 단말기이다. 기업 및 기관들은 셀프 무인 서비스의 편리성 등 이점 때문에 점점 더 많은 산업과 분야에 키오스크를 도입하고 있다.

새로운 기술은 항상 위험이 뒤따르듯이 키오스크 역시 보안 위협에 대한 이슈가 계속해서 제기되고 있다. 특히, 키오스크는 예약, 결제 서비스가 주 목적인 만큼 개인정보를 저장하고 처리하기 때문에 공격자들의 타겟이 되기 매우 적합하다. 일부 키오스크 서비스는 보안에 대해 충분히 고려되지 않은 채로 배포되기도 한다. 키오스크 해킹 발생 이유는 여러가지가 있지만, 오늘은 공용  네트워크 또는 열린 포트에서 운영되는 공격 표면에 노출된 키오스크 시스템과 관리자 페이지를 탐지하고 위협을 예방할 수 있는 방법에 대해 알아보고자 한다.

인터넷에 노출된 키오스크 시스템 관리자 페이지

키오스크 해킹 발생 이유 중 하나로 인터넷에 노출된 키오스크 시스템 관리자 페이지를 꼽을 수 있다. 서비스를 제공하는 기업 및 기관은 엔드포인트 고객이 키오스크 단말기로 결제, 예약 등의 기능을 사용할 수 있도록 키오스크 시스템에서 관리한다. 정상적인 키오스크 시스템은 외부 접근이 차단되어 있어야 하며, 관리자 페이지의 로그인 등 인증을 거쳐야 접근할 수 있다.

보안 OSINT 검색엔진 Criminal IP를 활용해 공용 인터넷에서 접근 가능한 키오스크 시스템 관리자 페이지를 검색해보았다. Criminal IP Asset Search 검색창에 Title 필터를 활용해 아래 검색어로 입력하면 노출된 키오스크 시스템을 찾을 수 있다.

Search Query : Title: Kiosk management console UI

Criminal IP Asset Search로 검색한 외부 네트워크에 노출된 키오스크 관리 시스템
Criminal IP Asset Search로 검색한 외부 네트워크에 노출된 키오스크 관리 시스템

또 다른 검색어인 Title: Kiosk Management System로 검색된 한 웹사이트에 접속하면 아래와 같은 키오스크 Admin 콘솔 페이지들이 가동되는 것을 볼 수 있다.

Search Query : Title: Kiosk Management System

공용 인터넷에 노출된 키오스크 관리자 콘솔 페이지, 키오스크 해킹 위협에 노출되어있다
공용 인터넷에 노출된 키오스크 관리자 콘솔 페이지, 키오스크 해킹 위협에 노출되어있다

“Title: Kiosk Terminal Management System” 으로 검색하면 마찬가지로 아래와 같은 키오스크 시스템의 로그인 웹 페이지가 보인다.

Search Query: Title: KIOSK Terminal Management System

Criminal IP Asset Search에 Title: Kiosk Terminal Management System 키워드로 검색한 결과
Criminal IP Asset Search에 Title: Kiosk Terminal Management System 키워드로 검색한 결과
키오스크 시스템의 로그인 웹 페이지, 외부에서 접근 가능한 상태로 키오스크 해킹 위협에 노출되어있다
키오스크 시스템의 로그인 웹 페이지, 외부에서 접근 가능한 상태로 키오스크 해킹 위협에 노출되어있다

특정 기업 또는 서비스의 키오스크 해킹 위협

해커는 특정 기업 또는 기관을 해킹하기 위해 취약한 키오스크 시스템을 찾을 수도 있다. 키오스크의 단말기 장애를 일으키는 키오스크 해킹 뿐 만 아니라, 연결된 서버에 저장된 고객 정보, 더 나아가 기업 또는 기관의 주요 서버까지 침입하여 더 큰 공격으로 이어질 수 있다.

우리는 KIOSK 검색어에 ‘Hotel’ 이라는 키워드를 추가하여 말레이시아에서 운영되는 호텔의 키오스크 시스템을 찾아냈다. 

Search Query: Title: Uptown Kiosk – Hotel System

말레이시아의 호텔 키오스크 시스템 로그인 페이지
말레이시아의 호텔 키오스크 시스템 로그인 페이지

또한 특정 기업명 키워드를 추가해 키오스크 해킹 공격에 취약한 시스템을 찾아냈다.  아래 이미지는 국내에 있는 독일의 유명 자동차 제조사에서 운영하는 서비스 센터 키오스크 시스템이다.

Criminal IP Asset Search에 자동차 제조사 'V'사의 키오스크 시스템을 검색한 결과
Criminal IP Asset Search에 자동차 제조사 ‘V’사의 키오스크 시스템을 검색한 결과
자동자 제조사 'V'사의 키오스크 시스템 로그인 페이지, 외부 인터넷에 노출되어있다
자동자 제조사 ‘V’사의 키오스크 시스템 로그인 페이지, 외부 인터넷에 노출되어있다

로그인 인증 없이 접속해 키오스크 해킹 까지 가능

키오스크 시스템이 외부에 공개되어 있는 것 자체로도 매우 심각한 보안 이슈다. 하지만 우리가 찾은 어떤 키오스크 시스템들은 로그인 인증 까지 미흡한 상태로, 언제든 키오스크 해킹 공격이 가능한 상태였다.
아래 CIP 검색에서 발견된 대시보드는 대기업 S 그룹사의 키오스크 관련 시스템으로 추정된다. 해당 시스템은 보안 로그인 통제가 없는 상태로 웹사이트 접근이 되는 보안상 취약점이 존재하고 있다.

대기업 S 그룹의 키오스크 관련 시스템, 로그인 인증 없이 접근 가능하다
대기업 S 그룹의 키오스크 관련 시스템, 로그인 인증 없이 접근 가능하다

아래 이미지는 영화관 키오스크 관리 시스템으로, 로그인이 되어있으며 별도의 인증 없이 키오스크 해킹이 가능하다.

영화관 키오스크 관리 페이지, 로그인 없이 접근되어 키오스크 해킹 대상이 될 수 있다
영화관 키오스크 관리 페이지, 로그인 없이 접근되어 키오스크 해킹 대상이 될 수 있다

제공하는 기업과 제공 받는 고객 모두가 편리하게 사용할 수 있도록 개발된 키오스크는 그 편리함 만큼 사이버 공격자들에 의해 큰 피해를 입을 수 있다. 보안 OSINT 도구를 통해 키오스크 등 다양한 IoT 기기들을 찾아낼 수 있다는 것은 해커들 또한 공격 표면에 무방비로 노출되어 있는 자산들을 쉽게 공격할 수 있다는 것이다. 기업 및 기관은 Criminal IP ASM 과 같은 공격 표면 관리 솔루션을 통해 모든 자산의 노출 여부를 꼼꼼히 체크해야 하며, 키오스크 등 IoT 장비 도입 시 보안에 대한 안전장치를 충분히 고려하여 배포해야 한다. 오래된 키오스크 단말기 교체, 키오스크 시스템의 정기적인 보안 패치 업데이트 등도 체크해야 한다.

관련하여 공격 표면에 노출된 디폴트 페이지에서 발생하는 보안 위협에 대한 글을 참고해도 좋다.

데이터 출처 : Criminal IP (https://www.criminalip.io/ko)

관련 글 : 

디폴트 페이지 노출: 디폴트 페이지에서 발생하는 보안 위협