카스퍼스키, 암시장서 바이오메트릭 도입한 ATM 스키밍 기기 발견
이미 1년전부터 기기 거래되었으나 속도 및 오류 문제로 활성화 안 돼

[보안뉴스 문가용] 지문, 손바닥, 음성, 홍채 등을 인식해서 사용자를 인증해주는 바이오메트릭 인증기기들에 대한 보안 문제가 지적됐다. 보안 전문업체인 카스퍼스키가 최근 바이오메트릭 인증기기들을 분석해 사이버 범죄자들이 악용할만한 수법들을 발견해냈다고 발표한 것. 각종 해킹 사건의 표적이 되고 있는 ATM에 바이오메트릭 인증기기들을 도입하려는 은행들의 발걸음이 잠시 멈췄다.


더욱 우려가 되는 건, 이번 연구 조사를 위해 카스퍼스키가 직접 기기들을 리버스엔지니어링하고 침투 테스트를 해본 게 아니라 다크웹의 지하시장을 조사해 최소 12개의 바이오메트릭 인증기기를 무력화시킬 수 있는 스키밍 도구를 발견했기 때문이다. 즉 ‘이론상만 존재하는 위협’이 아니라는 뜻이다.

해당 기기들을 입수해 분석해본 결과 기존 스키머들과 마찬가지로 지불카드 정보를 훔치는 게 주요 목적인 것으로 나타났다. 또한 물리적으로 ATM과 연결하면 지문 정보를 훔쳐서 엉뚱한 사람의 지문으로 ATM의 인증절차를 통과한다고 한다. 그렇게 하고 나서는 사기 거래를 진행할 수 있다.

이런 류의 기기들이 암시장에 처음 등장한 건 이미 작년 9월의 일이라고 카스퍼스키는 설명했다. “대신 초기 모델들은 버그가 너무 많았어요. 그리고 바이오메트릭 인증 기술 자체에 문제가 많아 그것에 일일이 대응하기도 힘들었습니다.” 무엇보다 데이터가 클 경우 처리 속도가 너무 느린 것이 범죄자들 사이에서 크게 각광받지 못하게 한 주요 이유였다.

“그러나 이것도 그리 오래가지 않을 겁니다. 버그 없고 빠른 스키밍 기기들이 코앞에 다가왔거든요.” 현재 지문을 활용한 인증기기를 스키밍하는 기술은 사이버 범죄자들 사이에서 꽤나 발전된 상태고, 이를 바탕으로 홍채나 음성 등의 생체정보를 활용한 인증기기들도 곧 공격의 대상이 될 것으로 보인다. “앞으로 몇 년 안에 나타날 것으로 보입니다.” 카스퍼스키가 조사한 바에 의하면 최소 세 개의 범죄조직 단체가 이런 ATM 바이오메트릭 인증기기를 시험 중에 있다.

이뿐만이 아니다. 카스퍼스키는 암시장을 수색하는 도중 한 커뮤니티에서 ATM의 안면인식 시스템을 깨는 방법에 대한 이야기가 오고가는 것도 목격했다고 설명했다. “사진과 관련된 모바일 앱을 사용하는 것과 관련이 있는 이야기들이 대부분이었습니다. 모바일 사진 앱으로 ATM 안면인식 기술을 농락할 수 있는 것으로 보입니다. 아니면 그 가능성이 발견되었거나요.”

범죄자들 사이에서 ATM의 바이오메트릭 인증기기 공략법은 활발하게 연구되고 있는 모양새다. “블랙박스 공격이라는 것도 있습니다. 현금을 실제로 사용자에게 건네주는 부분이나 카드인식기에 악성 기기를 연결하면 NFC가 활성화되어 있는 바이오메트릭 정보 리더기를 공격하는 게 가능하다고 합니다.” 하지만 그 상세한 기술 내용에 대해서는 카스퍼스키도 아직 공개하지 않고 있다.

“결국 바이오메트릭 정보 관리하는 부분에 있어서 보강이 필요하다고 봅니다. 바이오메트릭 정보는 암호나 핀코드와 달라서 유츨이 일어났을 때 수정이나 교체로 대처가 안 됩니다. 바이오메트릭은 강력한 인증 수단이지만, 단 한 번의 사고가 기존 개인정보 유출사고와는 비교가 되지 않을 정도로 파장이 클 겁니다.” 카스퍼스키의 설명이다.

한편, 올 한해에만 일어난 대규모 ATM 공격으로는 1) 대만 41개 ATM에서 3백만 달러 도난 사건, 2) 일본 1400여 세븐일레븐 지점의 ATM에서 1천 3백만 달러 도난 사건이 있으며, 동유럽과 러시아에서는 크고 작은 ATM 사건이 빈번히 일어난다고 알려져 있다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>