“악성코드 없이도 ATM 해킹 가능…SW 취약점 이용”
상태바
“악성코드 없이도 ATM 해킹 가능…SW 취약점 이용”
  • 김선애 기자
  • 승인 2016.05.03 11:24
  • 댓글 0
이 기사를 공유합니다
카스퍼스키랩, 물리적 보안장치 미비로 공격 당해

악성코드 없이도 ATM을 해킹해 거액의 현금을 인출할 수 있다.

카스퍼스키랩은 오래됐거나 안전하지 않은 소프트웨어 사용, 네트워크 구성 실수, ATM 주요 부분에 대한 물리적 보안 미흡 등으로 ATM이 해킹당할 수 있다고 3일 밝혔다.

카스퍼스키랩의 보고서에 따르면 ATM 해킹으로 가장 많이 사용된 것은 스키머로, ATM에 장치를 부착해 은행 카드 마그네틱 선에서 카드 정보를 훔치는 것이다. 그러나 사이버 공격이 진화하면서 이러한 장치 없이도 거액의 현금을 인출할 수 있게 됐다.

▲이미지 출처: https://securelist.com/analysis/publications/74533/malware-and-non-malware-ways-for-atm-jackpotting-extended-cut/

윈도우XP·XFS 취약점 악용 공격 많아

카스퍼스키랩은 ATM 악성코드 ‘Tyupkin’과 ATM 해킹으로 거액을 인출한 범죄조직 카바낙의 공격 수법을 통해 ATM 공격의 원인이 된 2가지 보안 문제를 밝혀냈다. ATM은 윈도우 XP 등 구형 운영 체제를 사용하고 있으며, PC 악성 코드 감염과 익스플로잇을 통한 공격에 취약하다.

또한 대부분의 사례에서 ATM PC가 뱅킹 인프라 및 현금과 신용카드를 처리하는 하드웨어 유닛과 통신하는 데 사용되는 특수 소프트웨어가 XFS 표준을 기반으로 하고 있다. XFS는 안전성이 떨어지는 구형 기술 사양으로 ATM 소프트웨어를 표준화하기 위해 고안됐기 때문에 제조사에 관계없이 어느 장비에나 적용할 수 있다.

XFS 사양이 처리하는 명령에 대해 아무런 인증 절차를 필요로 하지 않기 때문에 ATM에 설치되거나 시작된 모든 앱이 카드 리더기나 현금 출입구 등 다른 ATM 하드웨어 유닛에 명령을 보낼 수 있다.

ATM이 감염되면 악성 코드는 ATM을 마음대로 제어할 수 있는 권한을 갖게 된다. 즉 해커가 명령만 하면 ATM 자체의 PIN 패드와 카드 리더기를 기본 스키머로 쓸 수도 있고 ATM에 들어 있는 현금을 전액 인출할 수도 있다.

물리적 보안 미흡해 ATM 공격 당해

카스퍼스키랩 연구진이 조사한 사례 중에는 악성 코드를 통해 ATM이나 ATM이 연결된 은행 네트워크를 감염시킬 필요가 없었던 경우도 다수였다. ATM 자체에 대한 물리적 보안이 미흡했기 때문에 이러한 범죄가 가능했는데, 이는 ATM에서 매우 흔히 발견되는 문제다.

ATM은 제3자가 ATM 내 PC나 ATM을 인터넷에 연결하는 네트워크 케이블에 쉽게 액세스할 수 있도록 구성 및 설치되는 경우가 매우 많다.

공격자들은 특수하게 프로그래밍된 마이크로컴퓨터(블랙박스)를 ATM에 설치해 ATM에 원격으로 액세스한 후 ATM을 허위 처리 센터로 연결한다. 이 센터는 은행에서 사용하는 것과 기능적으로 동일하지만 은행이 아닌 공격자가 운영하는 지불 데이터 처리 소프트웨어다. ATM이 허위 처리 센터에 연결되면 공격자는 원하는 명령을 보낼 수 있으며 ATM은 그 명령을 따릅니다.

ATM과 처리 센터 간 연결을 보호할 수 있는 방법은 다양하다. 예를 들어 하드웨어나 소프트웨어 VPN, SSL/TLS 암호화, 방화벽 또는 xDC 프로토콜로 실행하는 MAC 인증 등이 있다. 그러나 이러한 조치를 취하지 않는 경우가 많으며, 조치를 취하더라도 구성이 잘못되거나 ATM 보안 평가를 통해서만 발견할 수 있는 취약점이 있는 경우가 많다. 그 결과 하드웨어를 조작하지 않고도 ATM과 뱅킹 인프라 간 네트워크 통신이 가진 보안상의 허점을 악용해 범죄를 저지를 수 있다.

이창훈 카스퍼스키랩코리아 지사장은 “연구 결과, 현재 강력한 보안 기능을 가진 ATM이 개발되고 있음에도 많은 은행이 여전히 보안이 떨어지는 구형 모델을 사용하기 때문에 장치 보안을 위협하는 범죄에 대처할 준비가 되어 있지 않다. 그리고 이로 인해 은행과 고객이 막대한 금전적 손실을 입게 된다. 전문가 관점에서 보면, 사이버 범죄자가 인터넷 뱅킹을 대상으로 한 사이버 공격에만 관심이 있다는 방심이 이러한 결과를 초래했다고 생각한다. 물론 사이버 범죄자들은 인터넷 뱅킹 공격도 수행하지만 ATM의 취약점을 악용하여 수익을 얻고자 하는 경우도 늘어나고 있습니다. 왜냐하면 이러한 장치를 직접 공격하는 경우 현금화하는 경로를 크게 단축시킬 수 있기 때문”이라고 말했습니다.

SW 이중 인증 도입·SW 취약점 제거해야

이러한 문제를 해결하기 위해 ATM 제조업체는 안전을 염두에 두RH XFS 표준을 개정하고 장치와 합법적인 소프트웨어 간 이중 인증을 도입해야 한다. 이렇게 하면 트로이목마를 사용한 무단 현금 인출 가능성을 낮추고 공격자가 ATM 유닛을 직접 제어할 위험도 낮아진다.

또한 출금에 대한 인증을 엄중히 하여 허위 처리 센터를 통해 공격이 발생하는 것을 방지한다. 암호화 보호 및 모든 하드웨어 유닛과 ATM 내 PC 간 데이터 전송에 대한 무결성 제어를 구현하는 것이 좋다. 

저작권자 © 데이터넷 무단전재 및 재배포 금지
김선애 기자
김선애 기자 다른기사 보기
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.
주요기사