시만텍(www.symantec.co.kr)이 마이크로소프트의 윈도우즈 XP 지원 종료일이 임박한 가운데 문자메시지를 통해 현금을 인출할 수 있는 악성코드를 발견해 ATM(현금자동입출금기) 보안에 대해 다시한번 주의를 당부했다.

현재 전세계 약 95퍼센트의 ATM이 윈도우즈 XP 기반으로 운영되고 있으며, 오는 4월 8일부터 윈도우즈 XP 서비스 지원이 종료되면서 금융권은 심각한 보안 위협에 직면하게 될 것으로 예상된다. 이렇듯 ATM에 대한 보안 위협이 존재하는 가운데 사이버 범죄자들은 보다 정교해진 기술로 ATM 기기를 노리고 있다.

시만텍은2013년 하반기 멕시코에서 외부 키보드를 통해 ATM에 저장된 현금을 인출하는 악성코드인 ‘Backdoor.Ploutus’를 발견했다. 또한, 이후 모듈식 아키텍처(Modular Architecture)로 변형된 악성코드인 ‘Backdoor.Ploutus.B’를 추가로 발견했다. 이 악성코드는 영어로도 번역되어 공격자가 다른 나라에도 이를 유포할 의도가 있었다는 것을 시사했다.

놀라운 점은 이 새로운 악성코드를 통해 사이버 범죄자들이 문자 한 통으로 감염된 ATM을 작동시켜 현금을 인출할 가능성이 있다는 것이다. 이 공격 기술은 지금 세계 여러 곳에서 시도되고 있는 것으로 분석되며, 시만텍은 이 변종 악성코드로 ATM을 감염시켜 실제 현금인출 과정을 실험해 보았다.

ATM에 휴대전화 연결

범죄자들은 ATM 내부와 연결된 휴대전화로 ATM을 원격 조정 할 수 있다. ATM에 휴대전화를 연결하는 방법은 여러 가지가 있지만 가장 흔한 방법은 USB 테더링을 통해 휴대전화와 ATM을 인터넷으로 연결하는 것이다. 범죄자들이 ATM에 휴대전화와 연결을 설정해놓고 ATM에 악성코드 Ploutus를 감염시킨다. 그 결과 두 기기가 쌍방향으로 연결돼 휴대전화를 통해 ATM을 원격으로 조정 할 수 있게 된다. 휴대전화가 ATM의 USB 포트로 연결되기 때문에 배터리도 계속 충전되는 등 ATM의 전원이 켜져있을 경우 이에 연결된 휴대전화는 작동 상태로 유지된다.

ATM으로 문자메시지 전송

휴대전화와 ATM이 연결되면 범죄자들은 문자를 전송해 ATM와 연결된 휴대전화에 명령을 지시할 수 있다. ATM에 연결된 휴대전화가 형식에 맞는 메세지를 받고 이를 네트워크 패킷으로 전환시킨 후 USB 단자를 통해 ATM에 메시지를 전송한다.

문자메시지로 ATM을 원격 조정하는 것은 개별적이며 즉각적이기 때문에 범죄자들이 편리하게 범죄를 저지를 수 있다. 범죄자들은 돈을 들고 갈 ‘자금 운반책 (Money Mule)’이 현금을 인출하는 데 시간이 얼마나 소요되는지 정확히 파악하고 있기 때문에 범죄자와 자금운반책이 함께 움직여 빠르게 현금을 인출해갈 수 있다.

ATM 해킹을 통한 현금탈취 과정

사이버공격자들이 ATM을 해킹한 후 아래 과정을 통해 현금을 탈취하게 된다.

ATM 공격 과정 6단계

1. ATM에 악성코드를 설치한 후 해당 ATM기기의 USB 단자를 통해 휴대전화를 연결
2. ATM과 연결된 휴대전화에 2가지 문자메시지를 발송
- 문자 1: 해당 ATM 기기 내부에서 악성코드를 실행을 위한 유효 활성화 ID를 포함
- 문자 2: 돈을 인출하기 위한 유효 인출 명령 포함
3. ATM 과 연결된 휴대전화로 전달 받은 문자메시지를TCP(Transmission Control Protocol) 혹은
UDP(User Datagram Protocol)를 통해 ATM에 전송
4. ATM 내부에 있는 네트워크 패킷 모니터 모듈은 TCP/UDP 패킷을 받고, 유효한 명령을 포함하고 있는 경우 악성코드 실행
5. 악성코드가 실행되면 ATM은 자동으로 현금을 인출 (액수는 해당 악성코드에 미리 입력)
6. ATM에서 인출된 현금은 자금운반책(Money Mule)을 통해 수거

ATM 보안 방안

최신 ATM 기기의 경우 이러한 외부 장치를 통한 악성코드 설치를 방지하기 위해 암호화된 하드 드라이브를 제공하는 등 보다 향상된 보안 기능을 제공한다. 반면, 노후화된 ATM의 경우 여전히 윈도우즈 XP 를 탑재하고 있어 보안 위협에 취약한 것이 사실이다. 특히 외부에 설치된 ATM의 경우 더욱 위험에 노출되어 있다. 또한, 일반적으로 ATM 내부의 현금은 잘 잠겨있는 상태로 보관되어 있지만 컴퓨터는 허술하게 관리되고 있다. 이러한 노후화된 ATM의 컴퓨터 시스템이 물리적으로 노출되어 있다는 사실은 결국 범죄자에 무방비 상태로 공격을 당할 수밖에 없는 상황이라고 볼 수 있는 것이다.

시만텍에서는 ATM 보안을 위해 다음과 같은 대비책을 마련할 것을 권고한다.

• 윈도우즈 7 혹은 8 등 보다 안전한 운영체제로 업그레이드
• 적절한 물리적 보안을 구축하고 CCTV로 해당 ATM 감시
• CD-ROM드라이브나 USB와 같이 허가되지 않은 외부장치를 통한 부팅을 방지하기 위해 해당 기기의 바이오스 (BIOS, Basic Input Output System) 잠금설정
• 디스크 부당변경(Disk Tampering) 방지를 위한 완벽한 디스크 암호화
• '시만텍 데이터센터 시큐리티(Symantec DataCetner Security: Server Advanced)'와 같은 락다운(lock down) 보안 솔루션 설치

시만텍코리아 윤광택 이사는 “시만텍은 엔드포인트, 서버 및 일반소비자 보안 솔루션 제품을 통해 윈도우즈 XP 시스템을 지속적으로 지원할 예정이다. 그러나 무엇보다도 윈도우즈 XP 사용자들에게 가능한 빨리 최신 운영체제로 업그레이드 할 것을 권고한다.”며, “특히 시스템에 대한 전면적 업그레이드 및 물리적 교체전까지는 ATM에 특화된 보안 솔루션을 적용해 허가되지 않은 프로세스에 대한 실행을 원천적으로 차단해 시스템을 보호할 것을 권장한다.”고 말했다.