지난 수년간 ATM 고객과 소유주에게 가장 큰 위협은 ATM에 부착하여 은행 카드 마그네틱 선에서 카드 정보를 훔치는 장치인 스키머였다. 그러나 악성 기술이 진화하면서 ATM이 직면하는 위협이 더욱 다양해졌다.
2014년 카스퍼스키랩 연구진은 Tyupkin을 발견했다. Tyupkin은 널리 알려진 ATM 대상 악성 코드 사례 중 하나이다. 이어 2015년에는 손상된 뱅킹 인프라를 통해 ATM에서 거액을 인출한 Carbanak 그룹을 찾아냈다. 두 가지 모두 ATM 기술과 이를 지원하는 인프라가 가지고 있는 여러 취약점을 악용할 수 있었기 때문에 발생한 사례이다.
카스퍼스키랩 침입 테스트 전문가들은 ATM 보안 문제를 모두 찾아내기 위해 실제 공격에 대한 조사와 몇몇 국제 은행의 ATM 보안 평가 결과를 토대로 연구를 수행했는데 연구 결과, 악성 코드로 ATM을 공격할 수 있었던 원인이 된 2가지 보안 문제를 가려냈다.
소프트웨어 문제
◇모든 ATM은 XP 등의 구형 운영 체제를 사용하는 PC로 PC 악성 코드 감염과 익스플로잇을 통한 공격에 취약하다. 대부분의 사례에서 ATM PC가 뱅킹 인프라 및 현금과 신용카드를 처리하는 하드웨어 유닛과 통신하는 데 사용되는 특수 소프트웨어가 XFS 표준을 기반으로 하고 있다. XFS는 안전성이 떨어지는 구형 기술 사양으로 본래 ATM 소프트웨어를 표준화하기 위해 고안되었기 때문에 제조사에 관계없이 어느 장비에나 적용할 수 있다.
그러나 문제는 XFS 사양이 처리하는 명령에 대해 아무런 인증 절차를 필요로 하지 않기 때문에 ATM에 설치되거나 시작된 모든 앱이 카드 리더기나 현금 출입구 등 다른 ATM 하드웨어 유닛에 명령을 보낼 수 있다는 것이다. ATM이 감염되면 악성 코드는 ATM을 마음대로 제어할 수 있는 권한을 갖게 된다.
물리적 보안
카스퍼스키랩 연구진이 조사한 사례 중에는 악성 코드를 통해 ATM이나 ATM이 연결된 은행 네트워크를 감염시킬 필요가 없었던 경우도 다수였다. ATM 자체에 대한 물리적 보안이 미흡했기 때문에 이러한 범죄가 가능했다. ATM은 제3자가 ATM 내 PC나 ATM을 인터넷에 연결하는 네트워크 케이블에 쉽게 액세스할 수 있도록 구성 및 설치되는 경우가 매우 많다. 뿐만 아니라 ATM 일부에만 물리적으로 액세스를 하더라도 특수하게 프로그래밍된 마이크로컴퓨터(소위 블랙박스)를 ATM 내에 설치하여 ATM에 원격으로 액세스하거나 ATM을 허위 처리 센터로 연결하는 범죄가 일어날 수 있다.
전세계의 ATM이 대부분 취약하지만 ATM 제조업체가 아래와 같은 조치를 적용하면 현금입출금기에 대한 공격 위험을 낮출 수가 있다.
◇안전을 염두에 두어 XFS 표준을 개정하고 장치와 합법적인 소프트웨어 간 이중 인증을 도입해야 한다. 이렇게 하면 트로이목마를 사용한 무단 현금 인출 가능성을 낮추고 공격자가 ATM 유닛을 직접 제어할 위험도 낮아지게 된다.
◇’출금에 대한 인증’을 엄중히 해 허위 처리 센터를 통해 공격이 발생하는 것을 방지한다.
◇암호화 보호 및 모든 하드웨어 유닛과 ATM 내 PC 간 데이터 전송에 대한 무결성 제어를 구현한다.
카스퍼스키랩코리아의 이창훈 지사장은 “연구 결과 현재 강력한 보안 기능을 가진 ATM이 개발되고 있음에도 많은 은행이 여전히 보안이 떨어지는 구형 모델을 사용하기 때문에 장치 보안을 위협하는 범죄에 대처할 준비가 되어 있지 않음을 알 수 있었다. 전문가의 관점에서 보면 사이버 범죄자가 인터넷 뱅킹을 대상으로 한 사이버 공격에만 관심이 있다는 방심이 이러한 결과를 초래하였다고 생각한다. 물론 사이버 범죄자들은 인터넷 뱅킹 공격도 수행하지만 ATM의 취약점을 악용하여 수익을 얻고자 하는 경우도 늘어나고 있다. 왜냐하면 이러한 장치를 직접 공격하는 경우 현금화하는 경로를 크게 단축시킬 수 있기 때문이다”라고 말했다.
★정보보안 대표 미디어 데일리시큐!★
<데일리시큐 길민권 기자> mkgil@dailysecu.com
