해커들, 이제는 컴퓨터 자판을 넘어 물리력까지 동원

특정 시간에만 명령에 반응하고 무작위 숫자가 필요한 멀웨어

[보안뉴스 문가용] 아시아, 유럽, 라틴 아메리카에 있는 ATM 기기들이 멀웨어 공격으로 몸살을 앓고 있다. 그리고 그 멀웨어를 사용한 공격자들의 주머니는 빵빵해져가고 있다. 카스퍼스키가 발견한 이 멀웨어의 이름은 튭킨(Tyupkin)으로 공격자들은 이미 수백 달러의 현금을 훔쳐내는 데에 성공한 것으로 밝혀졌다.

“지난 몇 년 간 스키밍 기기나 악성 소프트웨어를 사용해 ATM 기기를 대상으로 감행한 공격들을 계속해서 관찰해왔습니다.” 카스퍼스키의 책임연구원인 비센트 디아즈(Vicente Diaz)의 설명이다. “그런데 최근 들어서는 사이버 범죄자들의 진화가 눈에 띕니다. 컴퓨터 앞에서 금융기관을 공격하는 게 아니라 아예 직접 현장에서 공격하는 횟수가 늘어났지요. ATM을 직접 감염시키거나 APT 유형의 공격을 은행 시스템에 직접 하는 것입니다. 튭킨 멀웨어는 이런 진화의 과정에서 가장 눈에 띄는, ATM 기기를 직접 감염시키는 수단입니다.”

희망이 있다면 이런 공격에는 ‘물리적인 행동’이 꼭 수반되어야 한다는 것이다. 즉 현장을 통제하면 막을 수 있다는 의미다. 반대로, 나쁜 소식이 있다면 ATM은 원래 사람들의 물리적인 접근을 원활하게 하기 위해 만들어진 기기라, 태생부터 물리적인 행동을 쉽게 허한다는 것이다. 즉 24시간 일반대중이 들락날락하는 게 ATM 기기라는 것이고, 이런 인파 속에서 해커를 골라내기란 사실상 불가능하다.

ATM에 접근한 해커들은 일단 부트테이블 CD를 사용해서 시스템을 재부팅한다. 물론 CD에는 멀웨어 설치파일도 포함되어 있다. 설치된 멀웨어는 사용자의 명령을 기다린다. 특이한 건 해커의 수상한 활동이 눈에 띌 확률이 가장 낮은 일요일과 월요일 밤에 전송된 명령에 대해서만 반응을 한다는 것.

멀웨어가 명령을 받을 준비가 되어 있다면 무작위로 설정된 번호들로 구성된 고유 키가 ATM 기기 화면에 출력된다. 이 키들은 해킹 행위 시 매번 새롭게 생성된다. 영상 증거물에 따르면 ATM 기기에 직접 접근한 해커는 전화로 다른 공모자에게 연락해 무작위 번호조합을 불러준다. 전화를 받는 사람은 불러준 번호를 알고리즘에 대입해 세션 키를 생성한다. 그리고 이 키를 다시 전화를 건 사람에게 되불러준다. 이 키를 입력하면 기기에 보유 현금양이 출력된다. 또한 40개의 지폐를 인출한다.

이렇게 일견 복잡해 보이는 과정을 활용하는 건 일반 고객이 우연히 멀웨어를 활성화시키는 걸 방지하기 위해서고, 아마도 범죄단 조직의 일부가 조직에게조차 알리지 않고 몰래 이런 범죄행위를 저지르기 때문인 것으로 보인다. 국제경찰은 이 위협에 대해 해당 국가에 알리고 조치를 취할 것을 권고했다. 카스퍼스키는 ATM의 감염 여부 판별법을 요청을 한 은행 측에 알려주고 있다.

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>