스마트폰 문자메시지로 ATM에 원격명령을 내려 현금을 탈취해 가는 해킹 수법이 공개됐다. 전 세계 ATM의 약 95%가 윈도XP를 기반으로 하는 만큼 국내에서도 철저한 대비가 필요할 것으로 보인다.
24일 시만텍은 자사 보안대응팀 블로그를 통해 지난 2013년 말 멕시코에서 발견한 ATM 악성코드의 변종을 악용한 신종 해킹 수법이 등장했다고 밝혔다.
이 악성코드에 감염된 ATM 시스템은 범죄자들이 직접 비밀번호 등을 입력하지 않더라도 스마트폰을 통해 현금을 인출할 수 있게 했다. 일명 '백도어.플루토스(Backdoor.Ploutus)'다.
시만텍에 따르면 이 악성코드는 새로운 기능을 추가하거나 변경할 수 있는 모듈형 아키텍처로 진화하고 있다. 기존에 스페인어 버전으로 등장했던 플루토스의 변종은 영어 버전으로도 제공되고 있다.
새롭게 공개된 변종 플루토스(Backdoor.Ploutus.B)는 감염된 ATM에 스마트폰으로 문자메시지를 보내는 것만으로 현금을 인출시킨다.
공격 수법은 먼저 ATM 내에 운영체제(OS) 재부팅, 업데이트 등의 용도로 사용되는 USB포트에 스마트폰을 연결한 뒤 USB테더링을 활성화 시킨다. 이를 통해 ATM 내부 시스템과 스마트폰 간 인터넷 연결을 공유할 수 있도록 하는 것이다.
그 다음으로 해커는 또 다른 스마트폰으로 ATM에 연결된 스마트폰에 공격명령을 내리는 문자메시지를 보낸다. 해당 문자메시지를 받은 스마트폰은 ATM 내부 시스템에 설치된 악성코드를 작동시킨다. 외부 스마트폰은 ATM의 권한을 탈취해 일종의 컨트롤러 역할을 한다.
이를 통해 전송된 두 개의 문자메시지 중 첫번째 문자에는 플루토스를 작동시키기 위한 활성화된 ID를, 두번째는 인출할 현금액수를 포함하고 있다.
스마트폰은 허용된 문자를 발견해 이 내용을 ATM에 패킷 형태로 TCP나 UDP 방식으로 전송한다. ATM 내부에 설치된 네트워크 패킷 모니터(NPM) 모듈이 해당 패킷을 받는다. 해커가 허용한 명령어라는 사실이 확인되면 플루토스가 실행돼, 미리 입력한 금액만큼 ATM에서부터 현금을 뽑아낼 수 있게 된다.
과거에도 유사한 ATM 해킹 수법이 있었지만 현금을 인출하는 해커 대신 중간 운반책이 직접 ATM에 특정 숫자를 입력하는 등의 방법이 악용됐다. 그러나 새로 발견된 수법은 스마트폰만 있으면 운반책이 따로 필요없이 현금을 뽑아낼 수 있다는 점에서 위험성이 높다.
시만텍 보안 대응팀은 ATM을 노린 다양한 악성코드를 발견해왔다. 플루토스의 경우 공격자들은 ATM 내부에서부터 현금을 인출하지만 일부 다른 악성코드들은 사용자가 신용카드를 집어넣었을 때 카드 정보와 비밀번호를 훔쳐내기도 한다.
관련기사
- XP깔린 POS·ATM, 바꿀 수 없다면 대안SW 고민하라2014.03.26
- ATM-POS용 임베디드 윈도XP, 보안 최대 5년 지원2014.03.26
- POS에서 카드 정보 훔치는 악성코드 등장2014.03.26
- POS 단말기통한 고객정보 유출 조심하라2014.03.26
다행스럽게도 이 문제는 아직 업데이트가 되지 않은 구버전 ATM에만 적용된다. 시만텍에 따르면 최근에 출시되는 ATM은 내장된 하드디스크를 암호화 해 이러한 공격이 불가능하게 됐다. 그러나 윈도XP 기반 구버전 ATM으로 이러한 문제를 막기는 어렵다.
이에 대한 해결책으로 시만텍은 ATM 운영체제를 윈도7, 8 이상으로 업그레이드, ATM에 대한 CCTV 모니터링 강화, CD롬, USB드라이브 등과 같은 외부 저장매체를 통한 BIOS 부팅 잠금, ATM 시스템 전체 하드디스크에 대한 암호화, 시만텍 데이터 센터 시큐리티:서버 어드밴스드와 같은 시스템 잠금 솔루션을 활용할 필요가 있다고 조언했다.
