스위스 결제 단말기의 취약점: 암호화되지 않은 펌웨어와 접근 가능한 root 쉘
2025-06-01
보안 연구원이 스위스에서 널리 사용되는 Worldline Yomani XR 결제 단말기의 리버스 엔지니어링을 통해 암호화되지 않은 펌웨어와 공개적으로 접근 가능한 root 쉘을 발견했습니다. 물리적 훼손 방지 기능이 있음에도 불구하고 디버그 포트는 외부에서 접근 가능하여 공격자가 30초 이내에 root 권한을 얻고 악성 코드를 배포할 수 있습니다. 그러나 심층 분석 결과 Linux 시스템은 카드 정보와 같은 민감한 데이터를 처리하지 않으며, 독립적인 암호화 및 서명된 프로세서가 보안 기능을 처리하는 것으로 나타났습니다. 소프트웨어 엔지니어링의 심각한 실수이지만, 직접적인 위험은 처음 우려했던 것보다 적을 수 있습니다.