윈도XP 종료 'ATM 기기서 치명적 위험 발견'

ATM 저장된 현금 인출하는 악성코드 ‘Backdoor.Ploutus’ 발견

아주경제 장윤정 기자 = #사례 1 윈도XP 종료 후 범죄자들이 윈도XP 운용체제 기반의 ATM 내부와 연결된 휴대전화로 ATM 기기를 조종한다.
 USB 테더링을 통해 휴대전화와 ATM을 인터넷으로 연결하는 것이다. 범죄자들이 ATM에 휴대전화와 연결을 설정해놓고 ATM에 악성코드 Ploutus를 감염시킨다.
그 결과 두 기기가 쌍방향으로 연결돼 휴대전화를 통해 ATM을 원격조종할 수 있게 된다. 휴대전화가 ATM의 USB 포트로 연결되기 때문에 배터리도 계속 충전되는 등 ATM의 전원이 켜져 있을 경우 이에 연결된 휴대전화는 작동 상태로 유지된다.
 

# 사례 2  휴대전화와 ATM이 연결되면 범죄자들은 문자를 전송해 ATM과 연결된 휴대전화에 명령을 지시할 수 있다. ATM에 연결된 휴대전화가 형식에 맞는 메시지를 받고 이를 네트워크 패킷으로 전환시킨 후 USB 단자를 통해 ATM에 메시지를 전송한다.
문자메시지로 ATM을 원격조종하는 것은 개별적이며 즉각적이기 때문에 범죄자들이 편리하게 범죄를 저지를 수 있다.
범죄자들은 돈을 들고 갈 ‘자금 운반책 (Money Mule)’이 현금을 인출하는 데 시간이 얼마나 소요되는지 정확히 파악하고 있기 때문에 범죄자와 자금운반책이 함께 움직여 빠르게 현금을 인출해 갈 수 있다.

# 사례 3. ATM 해킹을 통한 현금탈취 과정
사이버공격자들이 ATM을 해킹한 후 6단계를 거쳐 현금을 탈취할 수 있다.
ATM에 악성코드를 설치한 후 해당 ATM기기의 USB 단자를 통해 휴대전화를 연결→ATM과 연결된 휴대전화에 2가지 문자메시지를 발송(문자 1: 해당 ATM 기기 내부에서 악성코드 실행을 위한 유효 활성화 ID를 포함, 문자 2: 돈을 인출하기 위한 유효 인출 명령 포함)→ ATM 과 연결된 휴대전화로 전달 받은 문자메시지를 TCP(Transmission Control Protocol) 혹은UDP(User Datagram Protocol)를 통해 ATM에 전송→ATM 내부에 있는 네트워크 패킷 모니터 모듈은 TCP/UDP 패킷을 받고, 유효한 명령을 포함하고 있는 경우 악성코드 실행→악성코드가 실행되면 ATM은 자동으로 현금을 인출(액수는 해당 악성코드에 미리 입력)→ATM에서 인출된 현금은 자금운반책(Money Mule)을 통해 수거.
 

휴대전화를 이용한 ATM 현금 인출 과정

시만텍이 27일 마이크로소프트의 윈도XP 지원 종료일이 임박한 가운데 문자메시지를 통해 현금을 인출할 수 있는 악성코드를 발견, ATM(현금자동입출금기) 보안에 대해 다시 한번 주의할 것을 당부했다.

현재 전 세계 약 95%의 ATM이 윈도XP 기반으로 운영되고 있으며, 오는 4월 8일부터 윈도XP 서비스 지원이 종료되면서 금융권은 심각한 보안 위협에 직면하게 될 것으로 예상된다.

이처럼 ATM에 대한 보안 위협이 존재하는 가운데 사이버 범죄자들은 보다 정교해진 기술로 ATM 기기를 노리고 있다.

시만텍은 2013년 하반기 멕시코에서 외부 키보드를 통해 ATM에 저장된 현금을 인출하는 악성코드인 ‘Backdoor.Ploutus’를 발견했다고 밝혔다. 

또한, 이후 모듈식 아키텍처(Modular Architecture)로 변형된 악성코드인 ‘Backdoor.Ploutus.B’를 추가로 발견했다. 이 악성코드는 영어로도 번역되어 공격자가 다른 나라에도 이를 유포할 의도가 있었다는 것을 시사했다.

놀라운 점은 이 새로운 악성코드를 통해 사이버 범죄자들이 문자 한 통으로 감염된 ATM을 작동시켜 현금을 인출할 가능성이 있다는 것이다. 이 공격 기술은 지금 세계 여러 곳에서 시도되고 있는 것으로 분석되며, 시만텍은 이 변종 악성코드로 ATM을 감염시켜 실제 현금인출 과정을 위 3가지 사례를 들어 설명했다. 

또 시만텍에서는 ATM 보안을 위해 다음과 같은 대비책을 마련할 것을 권고했다. 
△윈도 7 혹은 8 등 보다 안전한 운영체제로 업그레이드 △적절한 물리적 보안을 구축하고 CCTV로 해당 ATM 감시 △CD-ROM드라이브나 USB와 같이 허가되지 않은 외부장치를 통한 부팅을 방지하기 위해 해당 기기의 바이오스(BIOS, Basic Input Output System) 잠금 설정 △디스크 부당변경(Disk Tampering) 방지를 위한 완벽한 디스크 암호화 △'시만텍 데이터센터 시큐리티(Symantec DataCetner Security: Server Advanced)'와 같은 록다운(lock down) 보안 솔루션 설치.

윤광택 시만텍코리아 이사는 “시만텍은 엔드포인트, 서버 및 일반소비자 보안 솔루션 제품을 통해 윈도XP 시스템을 지속적으로 지원할 예정이다. 그러나 무엇보다도 윈도 XP 사용자들에게 가능한 빨리 최신 운영체제로 업그레이드할 것을 권고한다”며 “특히 시스템에 대한 전면적 업그레이드 및 물리적 교체 전까지는 ATM에 특화된 보안 솔루션을 적용, 허가되지 않은 프로세스에 대한 실행을 원천적으로 차단해 시스템을 보호할 것을 권장한다”고 말했다.