본문 바로가기 주메뉴 바로가기 검색 바로가기
ATM 해커, 여러가지 영리한 수법 악용한다
상태바
ATM 해커, 여러가지 영리한 수법 악용한다
이른바 현금 자동 입출금기 범죄 공격이 갈수록 고도로 발전했다. 그러나 ATM 보안 수준은 과거와 똑같다.
By LILY HAY NEWMAN, WIRED US

해커 바나비 잭(Barnaby Jack)이 2010년, 라스베가스에서 열린 블랙햇(Black Hat) 보안 컨퍼런스가 진행되는 도중 많은 참석자 앞에서 현금을 계속 인출하는 ATM을 만든 것으로 유명해지고 10년 뒤, 수천만 달러 도난 사고가 발생하면서 이른바 현금 자동 입출금기 범죄가 악명 높은 범죄가 됐다. 시간이 지나면서 해커는 갈수록 범죄 수법을 고도로 발전시켰다.

2020년 8월에 열린 블랙햇 컨퍼런스와 데프콘(Defcon) 보안 컨퍼런스에서 전문가들은 진화한 ATM 해킹 수법을 파헤쳤다. 범죄자들은 갈수록 멀웨어를 변형해, ATM에서 현금을 인출하기 위해 틈새 민간 은행 소프트웨어를 조작했다. 동시에 특정 ATM을 겨냥한 신종 원격 공격이 발견되는 등 기존에 악용된 최상의 ATM 해킹 수법도 포함됐다.

블랙햇 컨퍼런스에서 어느 한 대규모 민간 금융 기관의 기술 위협 정보팀 총괄직을 맡은 케빈 펄로(Kevin Perlow)는 현금 자동 입출금기 범죄에서 최근의 다른 수법을 나타내는 두 가지 현금 인출 수법을 분석했다. 그중 하나는 2019년 봄에 처음 발견된 ATM 멀웨어 ‘INJX_퓨어(INJX_Pure)’이다. INJX_퓨어는 핀 패드 운영 및 조정과 같은 ATM의 기본 기능을 지원하는 금융 서비스를 위한 확장(XFS) 인터페이스와 은행의 민간 소프트웨어를 함께 조작하는 현금 자동 입출금기 범죄 수법이다.

멕시코에서 멀웨어 원본 샘플이 스캐너로 업로드된 후, 콜롬비아에서 발견됐다. 그러나 INJX_퓨어 해커 관련 정보는 알려진 바가 거의 없다. INJX_퓨어는 특정 지역 내 특정 은행의 ATM을 겨냥하도록 생성됐다는 점에서 중요하다. 전 세계에서 사용할 수 있는 각종 툴에만 집중하는 것보다 사용 범위나 현금 자동 입출금기 범죄 표적이 된 멀웨어가 제한적이라도 INJX_퓨어를 개발할 가치가 높을 수 있다는 점을 시사한다.

펄로 총괄은 “일반적으로 해커가 자체 ATM 멀웨어 내에서 XFS를 이용해, 정상적인 상황에서는 작동해서는 안 될 작업을 하도록 ATM에 접근하는 것이 일반적이다. 그러나 INJX_퓨어 개발자가 이를 심는 행위는 매우 독특하며, 구체적으로 특정 ATM만 겨냥한다”라고 설명했다.

2020년 7월, ATM 제작 기업 디볼트 닉스도르프(Diebold Nixdorf)는 INJX_퓨어와 비슷한 유형의 다른 멀웨어를 경고했다. 경고문을 통해, 유럽 해커가 민간 소프트웨어를 겨냥해, ATM에서 현금 자동 입출금기 범죄를 저지르고 있다고 설명했다.
 
[사진=Unsplash]
[사진=Unsplash]

펄로 총괄은 2018년 10월, 미국 국토안보부의 사이버 보안 및 인프라 보안국(CISA)에서 북한의 소행이라고 설명한 현금 자동 입출금기 범죄에 악용된 패스트캐시(FASTCash) 멀웨어도 분석했다. 북한은 패스트캐시를 악용해 전 세계에서 총 수천만 달러를 인출했다. 도난 현금 운반 집단이 조직적으로 움직여 해킹된 ATM에서 현금을 모으고 돈세탁을 했다. 패스트캐시의 표적은 ATM 기기 자체가 아니라 금융 카드 거래 표준인 ISO-8583이다. 패스트캐시는 이른바 ‘결제 스위치’를 운영하는 소프트웨어를 감염시킨다. 결제 스위치는 ATM 정보 추적 및 일치 확인 담당 시스템을 운영하며, 여러 은행에서 응답을 받는 금융 기반시설 기기이다. 패스트캐시는 특정 ATM을 공격하는 대신 결제 스위치 하나를 감염시키면서 한꺼번에 ATM 수십 곳에서 조직적으로 현금을 인출할 수 있다.

펄로 총괄은 “패스트캐시로 현금 자동 입출금기 범죄를 저지를 수 있다면, ATM 500군데에 멀웨어를 심을 필요가 없다. 한 번에 여러 곳을 동시에 공격할 수 있다는 이점 때문에 매우 영리한 수법이라고 할 수 있다”라고 언급했다.

패스트캐시는 통제가 이루어지는 제어된 실험실로 공격 범위가 확장됐다. 장착용 기기 보안 기업 레드벌룬 시큐리티(Red Balloon Security) 연구진은 노틸러스 효성이 제작한 소매 ATM의 특정 취약점 두 가지를 자세히 설명했다. 소매 ATM은 은행에서 사용하는 금융 ATM이 아닌 술집이나 편의점 등에 있는 ATM이다. 소매 ATM의 취약점 모두 같은 네트워크에 접근하는 해커가 악용할 수 있다. 피해자 ATM 기기 관리 권한을 장악해, 물리적인 상호작용을 거치지 않고 현금을 마구 인출할 수 있다.

미국에 ATM 기기 14만대 이상 판매한 노틸러스 효성은 2019년 9월 초에 보안 결함 패치를 설치했다. 그러나 많은 연결 기기 때문에 결함 수정 패치 제공과 실제 ATM 운영자의 패치 설치간 격차가 클 수도 있다. 레드벌룬 시큐리티 연구진은 미국 내 ATM 8만 대 이상이 지금도 보안이 취약하다고 추산했다.

레드벌룬 시큐리티 CEO 앵 쿠이(Ang Cui)는 “우리 연구진이 찾은 특정 취약점과 관련, 노틸러스 효성 측은 적극적으로 결함 수정을 제공하는 등 훌륭하게 대처했다. 그러나 문제 해결은 실제로 보안이 취약한 ATM 운영자가 패치를 설치하는가에 달려있다. 전 세계에 배치된 ATM에 노틸러스 효성이 배포한 패치를 설치되지 않았더라도 그리 놀라울 것은 없다”라고 말했다.

노틸러스 효성의 ATM에서 발견된 두 가지 취약점은 ATM 서비스 관리에 사용하는 디지털 시스템에 존재했다. 연구진은 두 가지 취약점 중 하나에서 XFS 삽입 과정에서 ATM에 현금 인출 명령을 내리는 등 해커가 내리는 명령을 받아들이도록 특수 제작된 데이터 패킷이 존재한다는 사실을 발견했다. ATM의 원격 관리 시스템도 임의 코드 실행의 원인이 됐다. 다시 말해, 해커가 관리 권한을 전부 장악한다는 의미이다.

동료인 트레이 키온(Trey Keown) 박사와 함께 데프콘 보안 컨퍼런스에 참석한 레드벌룬 시큐리티 소속 과학자 브렌다 소(Brenda So) 박사는 “해커가 관리 권한을 얻은 후, 각종 작업과 설정 변경을 할 수 있다. 그러나 가장 큰 여파를 일으키는 문제는 현금 자동 입출금기 범죄이다”라고 말했다.

노틸러스 효성 측은 와이어드에 레드벌룬 시큐리티 연구진이 2019년 여름에 ATM 기기 보안 취약점을 알렸으며, 2019년 9월 4일에 ‘발생할 수 있는 위험을 완화할’ 펌웨어 업데이트를 배포했다고 강조했다. 노틸러스 효성은 공식 발표를 통해 “노틸러스 효성의 고객에게 ATM에 즉시 패치 설치 작업을 시행할 것을 알린다. 또, 노틸러스 효성은 현재까지 보안 위험에 노출 사례를 전혀 보고받지 못했다”라고 밝혔다.

실제 현금 자동 입출금기 범죄에서 해커들은 단순히 물리적 공격을 개시하거나 악성 USB 스틱 혹은 SD카드를 안전하지 않은 포트에 삽입하는 방식으로 ATM의 디지털 인터페이스를 악용한다. 그러나 레드벌룬 시큐리티 측이 보여준 것과 같은 유형의 원격 공격도 갈수록 보편화되고 있으며, 교묘한 수법으로 진화하고 있다.

모든 소프트웨어에 버그가 있고 보안 상태가 완벽한 컴퓨터는 없다. 그러나 현금 자동 입출금기 범죄가 어디서나 발생하고, 범죄를 저지르기 위해 전 세계 금융 시스템에서 상대적으로 쉽게 취약점을 찾을 수 있다는 점은 ATM 보안 혁신이 부족하다는 사실을 시사하는 듯하다.

쿠이는 “10년 전, 바나비 잭이 ATM 해킹 수법을 보여준 당시와 현시점 간 근본적으로 달라진 점이 있는가? 15년 전, 노트북과 노트북 운영 체제에서 개시됐을 가능성이 있는 것과 같은 유형의 해킹은 지금 효과가 없다. 노트북 보안 수준이 발전했다. 그런데, ATM 보안 수준이 발전하지 않은 이유는 무엇인가? 이 점에서 매우 놀랍다”라고 말했다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
ATM Hackers Have Picked Up Some Clever New Tricks
이 기사를 공유합니다
RECOMMENDED