물리적 접근과 논리적 접근 함께 조합한 공격...멕시코서 출발
외딴 곳에 떨어져 있는 오래된 ATM 모델이 특히 취약...관리 가능

[보안뉴스 문가용 기자] 세계 최대 규모의 ATM 벤더인 디볼드 닉스도프(Diebold Nixdorf)와 NCR이 미국의 고객사들에 긴급 경보를 발송했다. 이들의 ATM 기기들을 노린, 이른바 잭팟팅 공격(jackpotting attack)이 사이버 범죄자들 사이에서 유행하기 시작했다는 내용이다.


먼저 디볼드 닉스도프는 “지난 1월 26일 미국 비밀국이 회사 측에 잭팟팅 공격에 관해 알려왔다”고 밝혔다. “그 내용에 따르면 재팟팅 공격자들이 멕시코에서부터 시작해 미국으로 옮겨오고 있었으며, 이는 이미 2017년 11월 디볼드 닉스도프 측에서 일부 고객들에게 경고한 것과 동일한 내용이었습니다.”

디볼드 닉스도프는 “공격자들은 먼저 ATM 단말기 중 옵테바(Opteva) 프론트 로드(front-load) 뚜껑을 치워내고, 기존의 하드디스크를 빼낸 후 자기들이 만든 디스크로 교체합니다. 여기에는 승인되지 않은 ATM 소프트웨어 이미지가 저장되어 있습니다.”

새로운 디스크와 단말기를 페어링 하기 위해 공격자들은 통신 채널을 초기화시킨다. “ATM의 안쪽에 잠금 장치로 보호되어 있는 버튼을 몇 분 동안 누르고 있어야 합니다. 즉, 잠금 장치를 여는 작업부터 해야 하는, 생각보다 어려운 부분이죠. CCTV 화면을 분석해보니 공격자들은 산업용 내시경을 사용하더군요.”

현재 프론트 로드 AFD 기술이 적용된 옵테바 기종은 전부 잭팟팅 공격에 취약한 상태라고 한다. 구조적으로 정반대인 리어 로드(rear load) 모델 역시 취약한 건 마찬가지인데, 공격을 성공시키기가 매우 어렵다.

디볼드 닉스도프의 묘사에서 볼 수 있듯, 잭팟팅 공격은 물리 보안과 인증 기술을 모두 농락하는 공격 방식이다. “현재 주로 공격 대상이 되고 있는 기기들은 오래된 모델들입니다. 기기들을 새 것으로 교체하진 못해도 보안 방책들을 최신화시키는 노력은 금융 기관들이 반드시 진행해야 할 것입니다.” 디볼드 닉스도프의 권고 사항 중 일부다.

NCR 역시 고객들에게 잭팟팅 공격이 유행하고 있다고 경고했다. 그러면서 기기 보호 방법을 제공하기도 했다. 다행히 아직까지 NCR 기기들이 공격당한 사례는 존재하지 않는다. “하지만 미국 내에서 발생한 ATM 공격 중에서는 사상 처음의 논리적 공격이므로 미리 조심해야 할 필요가 있어 보입니다. 그래서 고객들에게 권고 사항과 안내문을 발송한 겁니다.”

1월 26일 미국 비밀국은 잭팟팅 공격에 대해 금융 기관들에 알리며 “약국이나 쇼핑몰 등에 따로 마련되어 있고, 보통 고립되어 있는 ATM 기기들을 대상으로 범행이 벌어진다”고 경고했다. “개인이 단독적으로 범행을 저지르는 경우도 있고, 조직적으로 단체가 움직이는 경우도 있습니다. 이러한 공격의 방식을 어디선가 전해 듣고 가까운 지역을 터는 이들도 있고, 국제 신디케이트 조직의 일부가 미국 여러 지역에 출몰하기도 합니다.”

잭팟팅 공격에 대해 제일 먼저 알려온 건 보안 블로거 크렙스온시큐리티(KrebsOnSecurity)였다. 당시 크렙스온시큐리티는 “공격자들이 새로운 멀웨어를 사용하는 것으로 보인다”며 플루터스디(Ploutus.D)라는 멀웨어를 지목했다. 당시 그는 미국 비밀국의 익명의 제보자를 인용하기도 했다.

“일단 가짜 하드드라이브를 기기에 장착시키고 나면, 멀리에 있는 누군가에게 연락을 취합니다. 그러면 원격에서 대기하고 있던 사이버 공격자들이 ATM을 해킹하기 시작하고, 곧이어 현금이 기기로부터 쏟아져 나오기 시작합니다. 예전에 발견된 ATM 해킹 공격 중 플루터스디 멀웨어를 동반한 공격에서 비슷한 현상이 발견된 바 있습니다. 플루터스디는 23초에 한 번씩 현금을 40장 인출시키는 기능을 가지고 있었습니다.”

ATM 해킹 공격 자체는 전혀 새로울 것이 없는 사이버 범죄의 일종이다. 특히 현금이 ATM 기기로부터 빠져나오게 하는 공격 기법은 최소 2010년부터 등장했다. 2016년에는 러시아의 일당들이 AMT 기기들로부터 2백만 달러를 훔쳐내기도 했다. 당시 이 공격에 동원된 기기는 스마트폰 뿐이라서 큰 화제가 된 바 있다.

보안 업체 포지티브 테크놀로지스(Positive Technologies)의 수석 보안 전략가인 레이안 갤로웨이(Leigh-Anne Galloway)는 “잭팟팅 공격이 기존 ATM 공격보다 흥미로운 건 공격자들이 물리적인 접근과 논리적인 접근을 함께 성공해내기 때문”이라고 설명한다. “잭팟팅은 가장 효율적인 공격 방법이 아닙니다. 더 손쉽게 현금을 인출해낼 방법은 많이 있습니다. 심지어 물리적인 접근을 하지 않아도 원격에서 해킹을 할 수도 있죠. 왜 굳이 물리력을 같이 행사해서 시끄럽게 훔쳐내느냐가 궁금합니다.”

한편 ATM을 보호해야 하는 입장에서는 “리스크 관리라는 측면에서 보안의 개념을 다시 한 번 정립해야 한다”고 보안 업체 크롤(Kroll)의 수석 관리자인 알란 브린(Alan Brill)은 설명한다. “독립적으로 운영되고 있는 ATM 기기들 중 오래된 모델들이 특히 취약하다고 알려져 있습니다. 또한 공격에 성공하려면 기기에 멀웨어를 심어야 한다고도 하고요. 공격이 성립하려면 전제조건이 제법 되죠. 공격자의 전제조건은 방어자에게 관리대상인 경우가 많습니다.”

잭팟팅 공격을 유발시키는 리스크를 관리하는 방법에는 몇 가지가 있다. ATM 관리 기술자를 간헐적으로 파견 보내 점검을 시키면 공격자들은 함부로 접근할 수가 없다. “애초에 외딴 지역에 ATM 기기를 둘 필요가 없어요. 조금이라도 유동 인구가 많은 지역으로 옮기면 될 일입니다. 최소 보안 카메라의 감시 범위 안으로라도 옮겨야죠. 또한 기기 뚜껑이 열리지 않도록 하거나, 추가 보호막을 설치할 수도 있겠죠.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>