2020-02-17 15:00 (월)
다크넷서 판매되고 있는 ATM 해킹 신종 악성코드 ‘Cutlet Maker’ 분석
상태바
다크넷서 판매되고 있는 ATM 해킹 신종 악성코드 ‘Cutlet Maker’ 분석
  • 길민권 기자
  • 승인 2017.10.18 18:51
이 기사를 공유합니다

ATM 기계에 물리적으로 접근할 수만 있으면 거액 빼낼 수는 악성코드

atm-2.jpg
다크넷 시장에서 공개적으로 판매되고 있던 ATM 공격 악성코드 패키지가 발견되었다. 초보자도 쉽게 사용할 수 있는 악성코드라 더욱 위험한 상황이다.

이 악성코드를 분석한 카스퍼스키랩에 따르면, 3가지 구성 요소로 이뤄진 이 ‘Cutlet Maker’라는 악성 코드를 사용할 경우 ATM 기계에 물리적으로 접근할 수만 있으면 거액을 빼낼 수 있다. 범죄자의 거액 절도를 가능하게 해주는 이 도구는 단계별 사용자 가이드까지 갖추어 단돈 5,000달러에 판매되었다.

다양한 방법을 동원해 이득을 극대화하려는 범죄자에게 ATM은 언제나 구미가 당기는 공격 대상이다. 절단기를 사용해 물리적 파괴 방식에 의존하는 부류도 있고, 악성코드 감염 방식을 택해 현금 지급기 내부 조작을 시도하는 부류도 있다. ATM 해킹용 악성 도구는 여러 해 동안 알려져 왔지만 최근 발견된 사실에 따르면 악성코드 개발자가 리소스 투자를 점점 더 늘리면서 컴퓨터 지식에 정통하지 않은 범죄자도 악성코드 개발자의 악성코드 ‘제품’을 사용할 수 있도록 고안하고 있다.

올해 초 카스퍼스키랩 파트너 한 곳에서 지금까지 알려지지 않았던 악성코드 샘플을 카스퍼스키랩 연구진에 제공했는데, 이는 ATM 내부에서 실행되는 PC를 감염시키는 것으로 추정되었다. 연구진은 이 악성코드 또는 관련 도구를 지하 세계 포럼에서 구매할 수 있는지에 대해 의문을 품고 확인해보았다.

이후 진행된 악성코드 고유 정보 검색 작업은 성공적이었다. 자주 이용되는 다크넷 지점인 AlphaBay에서 ATM 악성코드의 일종을 묘사한 광고 내용에 검색 쿼리와 일치하는 부분이 있었고, 앞서 확보한 샘플은 ATM 공격를 위해 개발된 시판 악성코드 전체 패키지의 일부라는 사실도 밝혀졌다. 악성코드 판매자의 공개 게시물도 발견되었는데, 악성코드에 대한 설명과 구입 방법 지침이 포함되어 있을 뿐 아니라 튜토리얼 동영상까지 포함된 상세한 단계별 가이드를 통해 악성코드 패키지로 공격을 이행하는 방법을 제공하고 있었다.

▲ 다크넷 마켓에서 ATM 해킹 악성코드 판매 게시물 이미지.
▲ 다크넷 마켓에서 ATM 해킹 악성코드 판매 게시물 이미지.
연구에 따르면 이 악성코드 툴킷은 3가지 요소로 구성되어 있다.

-Cutlet Maker 소프트웨어: ATM 지급기와 통신하는 주요 모듈 역할을 담당한다.
-c0decalc 프로그램: Cutlet Maker 애플리케이션을 실행하고 무단 사용을 방지하는 암호를 생성하도록 설계된 프로그램이다.
-촉진 애플리케이션: ATM 현금 지급기의 현재 상태 식별을 통해 범죄자의 시간을 절약해준다. 이 앱을 설치하면 침입자에게 각 지급기의 통화, 금액, 지폐 수에 대한 정확한 정보가 제공되므로, 덮어놓고 아무 기기에서 현금을 인출할 필요 없이 가장 금액이 큰 기기를 선택할 수 있다.

ATM 절도를 위해서는 악성코드를 USB 포트에 업로드해야 하므로 우선 ATM 내부에 직접 접근할 권한을 확보해야 한다. 물리적 접근이 성공한 후에는 소프트웨어 툴킷이 저장된 USB 기기를 연결한다. 이제 범죄자는 첫 번째 단계로 Cutlet Maker를 설치한다. Cutlet Maker는 보호 장치로 암호가 걸려 있으므로 노트북이나 태블릿 등의 다른 기기에 설치해둔 ‘c0decalc’ 프로그램을 사용한다. 이 프로그램은 Cutlet Maker 개발자가 설치한 ‘저작권’ 보호 기능의 일종으로, 다른 범죄자가 비용을 지불하지 않고 무단으로 이 악성 코드를 사용하지 못하도록 차단한다. 생성된 코드를 Cutler Maker의 인터페이스에 입력하면 현금 인출 프로세스가 시작되는 것이다.

Cutlet Maker는 2017년 3월 27일부터 판매되었지만, 연구팀이 발견한 가장 최초의 샘플은 2016년 6월에 보안 커뮤니티 레이더에 잡힌 샘플이었다. 당시 그 샘플은 우크라이나의 공용 멀티 스캐너 서비스에 제출된 것이었지만 이후 그 밖의 여러 나라에서도 샘플이 제출되었다. 해당 악성 코드가 실제 공격에 사용되었는지는 확실하지 않지만 악성 코드 패키지와 함께 제공된 지침에는 개발자가 악성 코드의 효율성을 입증하는 실제 증거로 제시한 동영상이 포함되어 있었다.

이 악성 코드의 배후는 알려져 있지 않다. 그러나 툴킷의 잠재적인 판매자와 관련해서는 언어, 문법, 문체의 실수로 보아 영어가 모국어는 아니라는 사실을 알 수 있다.

카스퍼스키랩코리아 이창훈 지사장은 “Cutlet Maker를 사용하려는 범죄자는 고급 지식이나 전문적인 컴퓨터 기술을 갖출 필요가 거의 없다. 덕분에 정교한 사이버 공격 활동으로 ATM을 해킹하던 방식이 또 다른 불법적인 방식으로 바뀌어 악성 코드 구입 비용 몇 천 달러만 있으면 사실상 누구라도 돈을 탈취할 수 있다. 이는 잠재적으로 금융기관에 위험한 보안 위협이 될 수 있다. 그러나 더 중요한 것은 Cutlet Maker는 작동하는 동안 ATM의 소프트웨어 및 하드웨어와 상호 작용하기 때문에 보안 장애가 거의 발생하지 않는다는 사실이다. ATM 기기의 보안 강화를 위해서는 이 부분이 변화되어야 한다”고 강조했다.

카스퍼스키랩의 전문가들은 Cutlet Maker와 같은 악성 도구에 힘입은 ATM 공격을 방지하고 ATM에 신뢰할 수 있는 물리적 보안 기능을 제공하기 위해서는 금융기관 보안팀이 다음과 같은 조치를 취해야 한다고 조언한다.

△승인되지 않은 소프트웨어가 ATM에서 실행되지 못하도록 엄격한 ‘기본 거부’ 정책을 시행한다.
△매체 제어 메커니즘을 활용해 ATM에 승인되지 않은 기기의 연결을 통제한다.
△맞춤형 보안 솔루션을 사용해 Cutlet Maker와 같은 악성 코드 공격으로부터 ATM을 보호한다.

카스퍼스키랩은 더욱 강력한 ATM 보호를 위해 Kaspersky Embedded Systems Security와 같은 적절한 보안 솔루션의 사용 또한 권장하고 있다.

한편 카스퍼스키랩은 ATM 대상 금융 악성코드에 대해 지속적인 연구를 계속하고 있다. 또한 ATM 공격의 진화 양상에 대해서는 ATM 인증 시스템 대상의 향후 공격 시나리오를 다룬 카스퍼스키랩의 보고서는 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐!★