ATM잭팟, 새롭게 발견됐지만 아직 분석 진행 중
ATM은 항상 범죄자들 꼬일 수밖에 없는 기기...공격 어렵지 않은 게 큰 문제

[보안뉴스 문가용 기자] 새로운 유형의 ATM 잭파팅 공격 멀웨어가 발견됐다. 이름은 ATM잭팟(ATMJackpot)으로, 홍콩에서부터 나타난 것으로 보인다. 아직까지는 이 멀웨어의 배포 및 활용법에 대한 세부적인 내용이 공개되지는 않고 있다.


ATM잭팟은 보안 업체 넷스코프 쓰레트 리서치 랩스(Netskope Threat Research Labs)에서 발견했다. 이전에 나타났던 ATM 잭팟 관련 멀웨어들보다 흔적을 덜 남기지만 비슷한 효과를 발휘한다고 한다.

먼저 ATM 잭파팅 공격이란 멀웨어를 사용하여 ATM 기기에서 현금이 마치 잭팟 터지듯 마구 인출되도록 만드는 걸 말한다. 이 때 멀웨어들은 USB를 통하여 직접 전파되기도 하지만, 원격에서 은행 네트워크에 침투한 공격자들이 ATM 기기를 침해하기도 한다.

최근 ATM 기기들을 겨냥한 잭파팅 공격은 큰 이슈가 되고 있다. 특히 유럽과 아시아에서 이러한 행위를 전문으로 하는 조직들이 활동하고 있다. 2017년 유로폴에서 ATM 기기를 노리는 일당들의 활동 범위가 넓어지고 있다고 경고한 바 있다. 피해 금액도 매년 커지고 있는 실정이다.

미국에서는 ATM 잭파팅 공격이 2018년 1월에 처음 발견됐다. 그리고 올해 3월 ATM을 공격하는 것으로 유명한 카르바낙(Carbanak)이라는 범죄 단체의 우두머리인 인물이 스페인에서 체포되기도 했다. 카르바낙은 여태까지 124만 달러를 훔쳐낸 것으로 집계된다. 이들은 은행 직원을 겨냥해 스피어피싱 공격을 주로 실시했고, 이를 통해 ATM 네트워크에 도달했다. 그런 후에는 ATM이 돈을 인출하도록 조정했고, 현장에 운반책을 파견해 현금을 쓸어담았다.

아직 새롭게 발견된 ATM잭팟 멀웨어가 USB로 퍼지는 유형인지, 원격 침해 후 침투하는 유형인지 분석되지 않았다. ATM 공격에 있어 물리적 접근이라는 조건을 성립시키는 것이 그다지 어려운 일은 아니기에, 두 가지 다 충분한 가능성을 가지고 있다. 잭파팅 공격에 사용되는 멀웨어들의 본질적인 특징은 ‘금고를 물리적으로 깨부수지 않고 돈을 꺼내는 것’이기도 하다. USB로 퍼지든, 원격에서 조종되든 큰 차이가 없다는 것이다.

ATM 기기들을 공격하는 것은 그리 어려운 일이 아니라고 알려져 있다. 대부분 오래된 버전의 윈도우 OS를 기반으로 하고 있으며, 패치도 제대로 되지 않고 있고, 사용자들의 편의를 위해 구석지고 눈길이 채 닿지 않는 곳에도 배치가 되어 있기 때문이다. 이러한 사실을 공격자들은 잘 이해하고 있고, 그래서 다양한 버전의 ATM용 멀웨어가 등장하고 있다.

또한 ATM 기기들에는 보통 XFS 관리자라는 요소들이 설치되어 있기도 하다. XFS는 다양한 ATM 기기 제조사나 모델들을 하나로 엮어주는 공통의 API와 같은 것이다. 그렇기에 멀웨어를 만들 때 이 XFS를 공략하도록 하면 공격이 한결 더 편해진다. XFS가 있어, 모델과 벤더별로 따로 공략 기법을 개발할 필요 없이 현금 인출 장치로 다가갈 수 있기 때문이다.

현재까지 ATM잭팟 멀웨어에 대해 상세히 공개된 내용이 없기 때문에 ATM 공격에 대해 더 알아낼 정보는 아직 없지만, 넷스코프는 “ATM은 포충기처럼 항상 벌레들이 꼬일 수밖에 없는 기기라는 것이 다시 한 번 확인됐다”고 말한다. 넷스코프가 여태까지 분석한 결과는 여기(https://www.netskope.com/blog/netskope-discovers-atmjackpot-siphoning-cash/)서 열람이 가능하다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>