ATM 기기 내 카세트 제어하기 위한 인터페이스, 슬롯머신 외관 갖춰
ATM 멀웨어, 차별화 위해 은행의 보안 장치 무력화하는 기능 강화
[보안뉴스 문가용 기자] ATM 기기를 겨냥해 공격하는 멀웨어가 재차 발견됐다. 특이하게도 이 멀웨어의 인터페이스는 슬롯머신과 흡사하다고 한다. 보안 업체 카스퍼스키(Kaspersky)가 이에 대해 공개했다.
[이미지 = iclickart]
이 멀웨어에는 윈팟(WinPot)이라는 이름이 붙었다. 처음 발견된 것은 지난 해 3월로, 유명 ATM 메이커들이 만든 장비들을 겨냥하는 것으로 밝혀졌다. 감염시킨 후에는 ATM이 자동으로 현금을 쏟아내도록 하는 기능을 가지고 있었다.
윈팟을 분석한 결과 개발자들이 인터페이스 제작에 꽤나 공을 들였다는 것을 알게 됐다. 슬롯머신을 닮은 외관도 독특했지만, 이 인터페이스를 통해 ATM 내부에 있는 현금 카세트를 조정할 수 있도록 하는 것이 핵심이었다.
ATM 내 카세트에는 1~4까지의 고유 번호와, 현금을 배출시키는 버튼이 부착되어 있다. 또한 각 카세트에는 현재 보유하고 있는 현금 정보가 저장되어 있기도 하다. 이런 기능들을 인터페이스로 제어할 수 있도록 한 것이다.
윈팟의 개발자들은 인터페이스에 스캔용 버튼(SCAN)도 하나 추가했다. 이는 ATM 기기를 스캔하고 카세트에 저장된 정보를 최신화하는 기능을 가지고 있다. 또한 스톱 버튼(STOP)도 있어 현금이 인출되는 걸 중단시킬 수도 있게 해두었다.
그리고 1년이 지났다. 카스퍼스키는 그 동안 “다양한 버전의 윈봇 샘플들을 발견할 수 있었다”고 말한다. “작은 차이점들이 샘플마다 존재합니다. 멀웨어 업데이트 날짜나 시간이 조금씩 다르고, 기능에도 약간씩의 차이가 있었습니다. 물론 현금을 빼간다는 점에서는 큰 변화가 없지만 세세한 부분에서 달랐습니다.”
윈팟은 다른 ATM 멀웨어와 마찬가지로 현재 다크웹 시장에서 판매되고 있다. 판매자마다 가격을 조금씩 다르게 설정해 적게는 500달러에서 많게는 1000달러까지 이른다.
한 판매자의 경우 윈팟 v3을 판매하고 있는데, 멀웨어 시연 및 튜토리얼 영상도 함께 올리고 있다. 그런데 이 패키지에 아직 정체가 불분명한 프로그램도 함께 들어있다고 한다. “이름은 쇼미머니(ShowMeMoney)인데, 또 다른 유명 ATM 멀웨어인 커틀릿 메이커(Cutlet Maker)와 비슷한 것으로 파악됩니다.”
사실 ATM 멀웨어들은 목적성이 너무 뚜렷해 상품이라는 측면에서 그리 큰 차별성을 갖지 못한다. “다만 ATM 기기들이나 은행 네트워크에 심긴 보안 장치들을 속이는 부분에서 기능과 원리가 갈리기는 합니다. 조금 비싼 건 ATM 자체에 걸려 있는 ‘인출 한도액’ 설정을 바꿀 수 있는 것도 있습니다. 앞으로 이런 식의 물건들이 암시장에 나올 것으로 예상됩니다.”
카스퍼스키는 “이런 위협에 대비해 은행이나 ATM 제조사 및 운영자들은 장비 제어장치 및 프로세스를 화이트리스팅 해주는 소프트웨어를 설치하는 게 좋다”고 권장한다. “외부 USB 등을 삽입하지 못하도록 하고, 허가되지 않은 소프트웨어가 ATM에서 돌아가지 않도록 조치를 취하는 게 기본입니다. ATM을 노리는 공격자들의 시도는 끝도 없이 이어질 것입니다.”
3줄 요약
1. 암시장에서 꾸준히 거래되는 품목은? ATM 멀웨어.
2. 현금을 인출한다는 면에서는 대동소이하나, 디테일에서 차이가 남.
3. 작년과 올해 발견된 윈팟의 경우, 인터페이스가 슬롯머신을 닮았다는 차별성 가지고 있음.
[국제부 문가용 기자(globoan@boannews.com)]
ATM 멀웨어, 차별화 위해 은행의 보안 장치 무력화하는 기능 강화
[보안뉴스 문가용 기자] ATM 기기를 겨냥해 공격하는 멀웨어가 재차 발견됐다. 특이하게도 이 멀웨어의 인터페이스는 슬롯머신과 흡사하다고 한다. 보안 업체 카스퍼스키(Kaspersky)가 이에 대해 공개했다.
[이미지 = iclickart]
이 멀웨어에는 윈팟(WinPot)이라는 이름이 붙었다. 처음 발견된 것은 지난 해 3월로, 유명 ATM 메이커들이 만든 장비들을 겨냥하는 것으로 밝혀졌다. 감염시킨 후에는 ATM이 자동으로 현금을 쏟아내도록 하는 기능을 가지고 있었다.
윈팟을 분석한 결과 개발자들이 인터페이스 제작에 꽤나 공을 들였다는 것을 알게 됐다. 슬롯머신을 닮은 외관도 독특했지만, 이 인터페이스를 통해 ATM 내부에 있는 현금 카세트를 조정할 수 있도록 하는 것이 핵심이었다.
ATM 내 카세트에는 1~4까지의 고유 번호와, 현금을 배출시키는 버튼이 부착되어 있다. 또한 각 카세트에는 현재 보유하고 있는 현금 정보가 저장되어 있기도 하다. 이런 기능들을 인터페이스로 제어할 수 있도록 한 것이다.
윈팟의 개발자들은 인터페이스에 스캔용 버튼(SCAN)도 하나 추가했다. 이는 ATM 기기를 스캔하고 카세트에 저장된 정보를 최신화하는 기능을 가지고 있다. 또한 스톱 버튼(STOP)도 있어 현금이 인출되는 걸 중단시킬 수도 있게 해두었다.
그리고 1년이 지났다. 카스퍼스키는 그 동안 “다양한 버전의 윈봇 샘플들을 발견할 수 있었다”고 말한다. “작은 차이점들이 샘플마다 존재합니다. 멀웨어 업데이트 날짜나 시간이 조금씩 다르고, 기능에도 약간씩의 차이가 있었습니다. 물론 현금을 빼간다는 점에서는 큰 변화가 없지만 세세한 부분에서 달랐습니다.”
윈팟은 다른 ATM 멀웨어와 마찬가지로 현재 다크웹 시장에서 판매되고 있다. 판매자마다 가격을 조금씩 다르게 설정해 적게는 500달러에서 많게는 1000달러까지 이른다.
한 판매자의 경우 윈팟 v3을 판매하고 있는데, 멀웨어 시연 및 튜토리얼 영상도 함께 올리고 있다. 그런데 이 패키지에 아직 정체가 불분명한 프로그램도 함께 들어있다고 한다. “이름은 쇼미머니(ShowMeMoney)인데, 또 다른 유명 ATM 멀웨어인 커틀릿 메이커(Cutlet Maker)와 비슷한 것으로 파악됩니다.”
사실 ATM 멀웨어들은 목적성이 너무 뚜렷해 상품이라는 측면에서 그리 큰 차별성을 갖지 못한다. “다만 ATM 기기들이나 은행 네트워크에 심긴 보안 장치들을 속이는 부분에서 기능과 원리가 갈리기는 합니다. 조금 비싼 건 ATM 자체에 걸려 있는 ‘인출 한도액’ 설정을 바꿀 수 있는 것도 있습니다. 앞으로 이런 식의 물건들이 암시장에 나올 것으로 예상됩니다.”
카스퍼스키는 “이런 위협에 대비해 은행이나 ATM 제조사 및 운영자들은 장비 제어장치 및 프로세스를 화이트리스팅 해주는 소프트웨어를 설치하는 게 좋다”고 권장한다. “외부 USB 등을 삽입하지 못하도록 하고, 허가되지 않은 소프트웨어가 ATM에서 돌아가지 않도록 조치를 취하는 게 기본입니다. ATM을 노리는 공격자들의 시도는 끝도 없이 이어질 것입니다.”
3줄 요약
1. 암시장에서 꾸준히 거래되는 품목은? ATM 멀웨어.
2. 현금을 인출한다는 면에서는 대동소이하나, 디테일에서 차이가 남.
3. 작년과 올해 발견된 윈팟의 경우, 인터페이스가 슬롯머신을 닮았다는 차별성 가지고 있음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
