By ANDY GREENBERG, WIRED US

지난 몇 년간 보안 연구원과 사이버 범죄 세력이 내부적으로 동원할 수 있는 모든 수단으로 ATM을 해킹했다. ATM 해킹에 동원된 수단은 전면 패널을 열고 섬 드라이브를 USB 포트에 고정하는 행위부터 내부 와이어를 드러내도록 드릴로 구멍을 만들기까지 다양했다. 이제 어느 한 연구원이 다양한 판매 관리 시스템(POS)과 함께 완전히 새로운 방식으로 ATM을 해킹하는 데 악용할 수 있는 여러 버그를 무더기로 발견했다. 이번에 새로 발견된 수법은 비접촉 신용카드 인식기에 휴대폰을 흔들기만 하면 해킹에 성공한다.

보안 기업 IO액티브(IOActive) 소속 연구원 겸 컨설턴트인 조셉 로드리게스(Josep Rodriguez)는 2020년 내내 전 세계적으로 무수히 많은 ATM 기기와 POS에 사용되는 NFC 인식 칩의 취약점을 깊이 연구하고 보고하는 데 몰두했다. NFC 시스템은 인식기에 신용카드를 긁거나 삽입하는 대신 흔들어서 결제하거나 현금 인출을 하도록 한다. 모두 세계 각지의 수많은 유통 매장과 음식점 카운터, 자판기, 택시, 주차 미터기 등에서 찾아볼 수 있다.

이제 로드리게스는 자신의 스마트폰에서 신용카드 무선통신을 따라하고는 NFC 시스템의 펌웨어에 있는 결함을 악용하도록 안드로이드 앱을 제작했다. 휴대폰을 흔들기만 하면, 각종 버그를 악용해 POS 기기를 망가뜨리고 해킹하면서 신용카드 데이터를 수집하고 전송할 수 있다. 그와 동시에 눈에 보이지 않는 형식으로 거래 가격을 변경하고 심지어 기기에 잠금 설정을 하고 랜섬웨어 메시지를 띄울 수 있다. 로드리게스는 적어도 한 브랜드의 ATM에서 현금을 인출하도록 악용할 수도 있다고 주장한다. 다만, ATM 기기의 현금이 부족할 때까지 현금을 전액 인출하는 해킹은 로드리게스가 ATM 소프트웨어에서 찾았다고 말하는 추가 버그를 결합할 때만 작동한다. 로드리게스는 ATM 공급사와의 기밀 유지 협약 때문에 자신이 발견한 결함을 구체적으로 밝히거나 공개적으로 발표하는 것을 거부했다.

로드리게스는 자신이 발견한 POS 공격과 관련, “펌웨어를 조작하고는 화면에 결제 금액이 50달러라고 표시되더라도 실제 결제 가격을 1달러로 바꿀 수 있다. 기기 자체를 쓸모없게 만들거나 일종의 랜섬웨어를 설치할 수도 있다. 이 과정에 악용할 수 있는 가능성은 얼마든지 있다. 해킹 공격을 연결하고 특정 결제 정보를 ATM의 컴퓨터에 전송해도 ATM에서 현금 인출이 이루어지도록 조작할 수 있다. 휴대폰을 탭하기만 하면서 현금을 인출하는 것과 같다”라고 설명했다.

로드리게스는 ID 테크(ID Tech)와 인제니코(Ingenico), 베리폰(Verifone), 크레인 페이먼트 이노베이션스(Crane Payment Innovations), BBPOS, 넥스고(Nexgo), 그리고 기타 익명의 공급사 등 버그의 영향을 받은 ATM 기기 공급사에 2020년 6월과 2020년 12월에 경고했다. 그런데도 로드리게스는 영향을 받은 상당수 시스템과 수많은 POS와 ATM이 주기적으로 소프트웨어 업데이트를 시행하지 않는다고 말했다. 또, 업데이트를 위해 물리적인 접근이 필요한 사례도 많았다. 다시 말해, 로드리게스가 발견한 버그를 보유한 기기 상당수가 여전히 취약한 상태임을 의미한다. 로드리게스는 “셀 수 없을 정도로 많은 ATM 기기에 물리적인 패치 작업을 하려면, 매우 오랜 시간이 걸린다”라고 언급했다.

오래 이어지는 취약점을 설명한 바와 같이 로드리게스는 와이어드에 자신의 거주지인 마드리드 길거리에 있는 ATM 기기의 NFC 인식기에 스마트폰을 흔들어 기계에 에러 메시지가 뜨도록 하는 모습을 담은 영상을 공유했다. NFC 인식기가 망가진 것처럼 보였으며, 이후 로드리게스가 기기에 손을 댔을 때, 신용카드 정보를 읽지 못했다. (로드리게스는 법적 책임 문제를 우려해, 와이어드에 자신의 영상을 공유하지 않을 것을 요청했다. 또한, IO액티브가 기밀 유지 협약을 체결한 피해 ATM 기기 공급사의 보안 컨설팅을 위해 확보한 기기만 이용해 합법적으로 테스트할 수 있어, 현금 인출 데모 영상은 제공하지 않았다.)

로드리게스의 연구를 검토한 보안 기업 SR랩스(SRLabs) 창립자이자 유명한 펌웨어 해커인 카스틴 놀(Karsten Nohl)은 “기기에 삽입된 채로 실행되는 소프트웨어 취약점을 대상으로 한 훌륭한 연구”라고 평가했다. 해킹된 NFC 인식기는 마그네틱 스트립이 있는 신용카드 데이터를 탈취할 뿐 피해자의 핀번호나 EMV 칩 데이터를 탈취하지는 못한다.
 
그러나 고인이 된 IO액티브 해커인 바나비 잭(Barnaby Jack)과 또 다른 보안 기업인 레드벌룬시큐리티(Red Balloon Security) 연구팀 등 일부 보안 연구원은 지난 몇 년간 로드리게스가 발견한 것과 같은 ATM 취약점을 제거할 수 있었으며, 더 나아가 원격으로 ATM 기기에서 현금 인출이 이루어지도록 할 수 있다는 사실을 입증했다. 레드벌룬 CEO 겸 수석 과학자인 앵 쿠이(Ang Cui)는 로드리게스가 발견한 버그가 인상적이며, IO액티브가 몇 가지 구체적인 공격을 밝히지 않았지만, NFC 인식기는 오늘날의 수많은 ATM 기기에서 현금을 마구 인출하도록 할 수 있다는 점에 의심의 여지가 없다고 말한다. 쿠이는 “ATM 기기 중 하나에 코드를 실행하면, 바로 메인 컨트롤러에 접근할 수 있다는 주장이 타당하다고 생각한다. ATM에는 10년 넘게 수정되지 않은 취약점이 가득하기 때문이다. 여기서부터 사용자의 현금 보관과 인출을 관리하는 기계를 절대적으로 통제할 수 있다”라고 말했다.

컨설턴트로 근무하면서 몇 년간 ATM의 보안을 테스트한 로드리게스는 1년 전부터 결제 기술 기업인 ID 테크가 가장 자주 판매하는 ATM의 비접촉 카드 인식기가 ATM 해킹이 발생하도록 마비되는 역할을 하게 될 것인지 연구하기 시작했다. 로드리게스는 이베이에서 NFC 인식기와 POS 기기를 구매하고는 다수 기기가 같은 보안 결함을 지닌 사실을 확인했다. 모두 애플리케이션 프로토콜 데이터 유닛(APDU)으로 일려진 NFC를 통해 신용카드에서 인식기로 전송되는 데이터 패킷의 크기를 검증하지 않았다.

로드리게스는 맞춤형 앱을 사용해 인식기가 NFC 기능이 활성화된 안드로이드 기기에서 예측한 것보다 용량이 수백 배 더 큰 자체 제작 APDU를 전송해, 수십 년 된 소프트웨어 취약점인 버퍼 오버플로(buffer overflow)를 일으킬 수 있었다. 버퍼 오버플로를 이용하면, 해커가 공격 대상이 된 기기의 메모리를 망가뜨리고는 자체 개발한 코드를 실행할 수 있다.

이번에 발견된 버그의 피해를 본 기업에 연락하자 ID 테크와 BBPOS, 넥스고 등은 와이어드의 질문에 어떠한 반응도 보이지 않았으며, ATM 업계 연합(ATM Industry Association)은 답변을 거부했다. 인제니코는 공식 성명을 통해 보안 완화 때문에 로드리게스의 버퍼 오버플로가 기기를 망가뜨렸을 뿐이지 기기에서 코드 실행 권한을 얻지 않았다고 주장했다. 그러나 고객의 불편함과 피해를 우려해 어찌됐든 보안 취약점을 수정했다고 밝혔다. (로드리게스는 인제니코의 보안 완화가 실제로 코드 실행을 막을 수 있을지 의구심이 든다고 반박했다. 다만, 이를 확인할 개념 증명은 제작하지 않았다.)

베리폰은 이번 보안 문제와 관련, 취약점 보고가 이루어지기 오래전인 2018년, 로드리게스가 강조한 POS의 취약점을 발견하고는 수정했다고 밝혔다. 그러나 로드리게스는 베리폰이 주장한 부분은 기기의 일관적인 패치 작업이 이루어지지 않는 문제만 다루었을 뿐이라고 주장한다. 이어, 2020년, 어느 한 식당에 설치된 베리폰 기기로 자신이 발견한 NFC 기법 실험 테스트 당시 여전히 보안 취약점이 그대로 존재한다는 사실을 확인했다고 덧붙여 전했다.

로드리게스는 1년 내내 자신이 발견한 사항을 소수에게만 공개한 끝에 곧 열릴 웨비나를 통해 ATM과 POS 취약점과 관련된 상세 정보를 공유할 계획이다. 보안 취약점의 영향을 받은 공급사의 고객사가 각각의 공급사가 구축한 패치 설치 작업을 하도록 추진하기 위한 의도의 일환이다. 그러나 로드리게스는 시스템이 내부에 설치된 기기의 심각한 보안 상태에 더 광범위한 관심을 기울이도록 할 것을 원한다. 그는 이번에 발견한 취약점이 버퍼 오버플로가 현금과 민감한 금융 정보를 다루는 등 보편적으로 사용되는 수많은 기기에 오래 존재한 것만큼 단순하다는 사실에 경악을 금치 못했다. 

로드리게스는 “이번 보안 취약점은 지난 몇 년간 펌웨어를 통해 나타났다. 취약점을 지닌 기기 모두 우리가 매일 신용카드와 현금 관리를 위해 사용하는 기기이다. 보안을 강화할 필요가 있다”라고 말했다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
NFC Flaws Let Researchers Hack ATMs by Waving a Phone