“해커가 ATM을 손쉽게 조작할 수 있는 이유는?

편집 : 2024.5.17 금 17:36

뉴스	“해커가 ATM을 손쉽게 조작할 수 있는 이유는?카스퍼스키랩 분석 자료 발표 김동기 기자 \| kdk@bikorea.net

승인 2016.05.06 12:20:24

전 세계 대부분의 ATM은 악성 코드를 이용해 불법으로 액세스해 거액의 현금을 인출할 수 있으며, 심지어 악성 코드 없이도 이러한 범죄가 가능하다.

카스퍼스키랩 코리아(지사장 이창훈)는 본사 전문가 발표를 인용, 오래됐거나 안전하지 않은 소프트웨어의 사용, 네트워크 구성 실수, ATM 주요 부분에 대한 물리적 보안 미흡이 원인인 것으로 파악했다고 지난 3일 밝혔다.

보고서에 따르면, 지난 수년간 ATM 고객과 소유주에게 가장 큰 위협은 ATM에 부착해 은행 카드 마그네틱 선에서 카드 정보를 훔치는 장치인 스키머였다.

그러나 악성 기술이 진화하면서 ATM이 직면하는 위협이 더욱 다양해 진 것.

2014년 카스퍼스키랩 연구진은 ‘Tyupkin’을 발견했다. Tyupkin은 널리 알려진 ATM 대상 악성 코드 사례 중 하나다.

이어 2015년에는 손상된 뱅킹 인프라를 통해 ATM에서 거액을 인출한 Carbanak 그룹을 찾아냈다.

두 가지 모두 ATM 기술과 이를 지원하는 인프라가 가지고 있는 여러 취약점을 악용할 수 있었기 때문에 발생한 사례이며, 이것은 빙산의 일각에 불과하다는 게 카스퍼스키랩의 설명이다.

카스퍼스키랩 침입 테스트 전문가들은 ATM 보안 문제를 모두 찾아내기 위해 실제 공격에 대한 조사와 몇몇 국제 은행의 ATM 보안 평가 결과를 토대로 연구를 수행했다.

◆소프트웨어 문제 = 연구 결과, 악성 코드로 ATM을 공격할 수 있었던 원인이 된 2가지 보안 문제를 가려냈다.

모든 ATM은 XP 등의 구형 운영 체제를 사용하는 PC로 PC 악성 코드 감염과 익스플로잇을 통한 공격에 취약하다.

대부분의 사례에서 ATM PC가 뱅킹 인프라 및 현금과 신용카드를 처리하는 하드웨어 유닛과 통신하는 데 사용되는 특수 소프트웨어가 XFS 표준을 기반으로 하고 있었다.

XFS는 안전성이 떨어지는 구형 기술 사양으로 본래 ATM 소프트웨어를 표준화하기 위해 고안됐기 때문에 제조사에 관계없이 어느 장비에나 적용할 수 있다.

문제는 XFS 사양이 처리하는 명령에 대해 아무런 인증 절차를 필요로 하지 않기 때문에 ATM에 설치되거나 시작된 모든 앱이 카드 리더기나 현금 출입구 등 다른 ATM 하드웨어 유닛에 명령을 보낼 수 있다는 것이다.

ATM이 감염되면 악성 코드는 ATM을 마음대로 제어할 수 있는 권한을 갖게 된다. 즉, 해커가 명령만 하면 ATM 자체의 PIN 패드와 카드 리더기를 ‘기본’ 스키머로 쓸 수도 있고 ATM에 들어 있는 현금을 전액 인출할 수도 있다는 게 카스퍼스키랩의 판단이다.

◆물리적 보안 = 카스퍼스키랩 연구진이 조사한 사례 중에는 악성 코드를 통해 ATM이나 ATM이 연결된 은행 네트워크를 감염시킬 필요가 없었던 경우도 다수였다.

ATM 자체에 대한 물리적 보안이 미흡했기 때문에 이러한 범죄가 가능했는데, 이는 ATM에서 매우 흔히 발견되는 문제다.

아울러 ATM은 제3자가 ATM 내 PC나 ATM을 인터넷에 연결하는 네트워크 케이블에 쉽게 액세스할 수 있도록 구성 및 설치되는 경우가 매우 많다.

뿐만 아니라 ATM 일부에만 물리적으로 액세스를 하더라도 범죄가 일어날 수 있다.

예를 들어, 특수하게 프로그래밍된 마이크로컴퓨터(소위 블랙박스)를 ATM 내에 설치, ATM에 원격으로 액세스 한다.

이후 ATM을 허위 처리 센터로 연결한다. 허위 처리 센터는 은행에서 사용하는 것과 기능적으로 동일하지만 은행이 아닌 공격자가 운영하는 지불 데이터 처리 소프트웨어다.

일단 ATM이 허위 처리 센터에 연결되면 공격자는 원하는 명령을 보낼 수 있으며 ATM은 그 명령을 따르게 된다.

ATM과 처리 센터 간 연결을 보호할 수 있는 방법은 다양하다.

하드웨어나 소프트웨어 VPN, SSL/TLS 암호화, 방화벽 또는 xDC 프로토콜로 실행하는 MAC-인증 등이 있다.

그러나 이같은 조치를 취하지 않는 경우가 많으며, 조치를 취하더라도 구성이 잘못되거나 심지어 ATM 보안 평가를 통해서만 발견할 수 있는 취약점이 있는 경우가 많다.

그 결과 하드웨어를 조작하지 않고도 ATM과 뱅킹 인프라 간 네트워크 통신이 가진 보안상의 허점을 악용하여 범죄를 저지를 수 있는 것이다.

◆ATM 해킹 방지 방법 = 카스퍼스키랩 코리아 이창훈 지사장(www.kaspersky.co.kr)은 “연구 결과, 현재 강력한 보안 기능을 가진 ATM이 개발되고 있음에도 많은 은행이 여전히 보안이 떨어지는 구형 모델을 사용하기 때문에 장치 보안을 위협하는 범죄에 대처할 준비가 돼 있지 않음을 알 수 있었다. 이로 인해 은행과 고객이 막대한 금전적 손실을 입는 것이 오늘날의 현실이다. 전문가의 관점에서 보면, 사이버 범죄자가 인터넷 뱅킹을 대상으로 한 사이버 공격에만 관심이 있다는 방심이 이러한 결과를 초래한 것으로 보인다. 물론 사이버 범죄자들은 인터넷 뱅킹 공격도 수행하지만 ATM의 취약점을 악용해 수익을 얻고자 하는 경우도 늘어나고 있다. 왜냐하면 이같은 장치를 직접 공격하는 경우, 현금화하는 경로를 크게 단축시킬 수 있기 때문”이라고 말했다.

이어 카스퍼스키랩은 ATM 제조업체는 몇몇 조치를 적용, 현금입출금기에 대한 공격 위험을 낮출 수 있다고 강조했다.

우선, 안전을 염두에 두고 XFS 표준을 개정, 장치와 합법적인 소프트웨어 간 이중 인증을 도입해야 한다.

이렇게 하면 트로이목마를 사용한 무단 현금 인출 가능성을 낮추고 공격자가 ATM 유닛을 직접 제어할 위험도 낮아진다.

다음으롷 ‘출금에 대한 인증’을 엄중히 해 ‘허위 처리 센터’를 통해 공격이 발생하는 것을 방지한다.

마지막으로 암호화 보호 및 모든 하드웨어 유닛과 ATM 내 PC 간 데이터 전송에 대한 무결성 제어를 구현한다.

현대 ATM의 보안 문제에 대한 자세한 내용은 Securelist.com에서 확인할 수 있다.

<김동기 기자>kdk@bikorea.net