2009년에 등장한 스키머 멀웨어, 많은 업데이트 거쳐
카드 데이터 수집에 현금 인출 기능까지... 비상 시 자기 삭제도 가능
[보안뉴스 문가용] 은행권이 요즘 공격에 시달리고 있다. 방글라데시 중앙은행과 SWIFT가 연루된 대형 사이버 은행털이 사건이 있었는가 하면 어나니머스가 디도스 공격으로 세계 여러 곳의 은행들을 괴롭히고 있다는 소식 속에 ATM 기기들마저 업그레이드된 멀웨어에 공격을 받고 있다고 한다.
이번에 ATM을 괴롭히는 멀웨어로 등장한 스키머(Skimer)는 2009년에 일찌감치 발견된 것으로 2010년과 2013년 사이에 발생했던 ATM 기기들에 대한 대규모 공격에 활용된 바 있다. 그리고 한 동안 줄어드는가 싶더니, 업데이트와 수정을 무려 49번에 걸쳐 받더니 강력해져서 돌아왔다. 49번의 업데이트 중 37번은 특정 브랜드의 ATM기를 노리기 위한 것이었다.
이를 발견한 건 보안 전문업체 카스퍼스키로 현재 멀웨어를 분석함과 동시에 스키머로 발생한 사건들을 수사 중에 있다. 더불어 멀웨어가 심겨져 있지만 발견이 되고 있지 않을 뿐인 것으로 의심되는 ATM 시스템들도 조사하고 있다고 한다.
스키머를 활용한 공격은 당연히 멀웨어를 심는 것에서부터 시작한다. 공격자들은 물리적으로 ATM 시스템에 접근하여 멀웨어를 설치하든가 은행 내부 네트워크를 통하여 원격으로 설치하기도 한다. 설치 후 멀웨어를 실행하면 멀웨어는 은행의 더 깊숙한 네트워크와 통신을 하고 금전 거래를 처리하는 핵심 요소들을 장악한다.
“현재까지 발견된 바로는, 윈도우 플랫폼에 기반을 둔 ATM 기기들만이 스키머에 취약합니다.” 카스퍼스키의 수석 보안 연구원인 세르게이 골로바노프(Sergey Golovanov)의 설명이다. “윈도우 버전은 특별히 문제될 것이 없습니다. 공격자들이 노리는 것은 윈도우에 설치된 XFS 서비스이거든요. XFS 서비스란 ATM 소프트웨어의 표준화 기술이라고 생각하면 됩니다. 즉 ATM 소프트웨어가, 모든 ATM 하드웨어에서 작동하도록 해주는 것이 XFS인데, 이걸 노린다는 것이죠.”
또한 스키머는 시스템에 계속 남아 사용자들의 카드에 부착되어 있는 자기 띠로부터 PIN 코드나 계좌번호와 같은 데이터를 조용히 모으기도 하고 특정 명령에 따라 현금을 인출시키기도 한다.
스키머가 무서운 건 공격자가 활성화시키기 전까지는 아무 것도 하지 않고 시스템에 조용히 남아있다는 것이다. 공격자들이 특수한 활성화 코드와 하드코딩된 명령을 전달하기 전까지 멀웨어는 시체놀이를 하듯 가만히 있기만 한다. 보안도 철저해 활성화를 시키려면 공격자가 멀웨어로부터 ‘인증’을 받아야 한다. 그밖에 업데이트 기능과 스스로를 삭제시키는 자가파괴 기능도 가지고 있다.
아직 수사가 진행 중이라 현재 얼마나 많은 ATM 시스템이 피해를 입었는지는 밝혀지지 않고 있다. 하지만 바이러스토탈(VirusTotal)에 올라온 샘플의 목록을 보면 최소 지난 2년 동안 세계 10개 지역에서 스키머가 ATM들을 공격해온 것을 알 수 있다. 대표적인 지역은 미국, 프랑스, 러시아, 스페인, 독일, UAE 등이다.
ATM은 사이버 범죄자들의 식지 않는 사랑을 받고 있는 공격 표적이다. 지난 달에도 ATM을 공격해주는 멀웨어 툴킷이 증가하고 있다는 것이 발견되었다. ATM 기기가 이처럼 계속된 공격에 시달리는 것은 “현금이 들어있고, 시스템 대부분이 노후했기 때문”이다. 윈도우 XP 기반인 ATM 시스템들이 아직도 많다는 게 일반적인 사실이다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
카드 데이터 수집에 현금 인출 기능까지... 비상 시 자기 삭제도 가능
[보안뉴스 문가용] 은행권이 요즘 공격에 시달리고 있다. 방글라데시 중앙은행과 SWIFT가 연루된 대형 사이버 은행털이 사건이 있었는가 하면 어나니머스가 디도스 공격으로 세계 여러 곳의 은행들을 괴롭히고 있다는 소식 속에 ATM 기기들마저 업그레이드된 멀웨어에 공격을 받고 있다고 한다.
이번에 ATM을 괴롭히는 멀웨어로 등장한 스키머(Skimer)는 2009년에 일찌감치 발견된 것으로 2010년과 2013년 사이에 발생했던 ATM 기기들에 대한 대규모 공격에 활용된 바 있다. 그리고 한 동안 줄어드는가 싶더니, 업데이트와 수정을 무려 49번에 걸쳐 받더니 강력해져서 돌아왔다. 49번의 업데이트 중 37번은 특정 브랜드의 ATM기를 노리기 위한 것이었다.
이를 발견한 건 보안 전문업체 카스퍼스키로 현재 멀웨어를 분석함과 동시에 스키머로 발생한 사건들을 수사 중에 있다. 더불어 멀웨어가 심겨져 있지만 발견이 되고 있지 않을 뿐인 것으로 의심되는 ATM 시스템들도 조사하고 있다고 한다.
스키머를 활용한 공격은 당연히 멀웨어를 심는 것에서부터 시작한다. 공격자들은 물리적으로 ATM 시스템에 접근하여 멀웨어를 설치하든가 은행 내부 네트워크를 통하여 원격으로 설치하기도 한다. 설치 후 멀웨어를 실행하면 멀웨어는 은행의 더 깊숙한 네트워크와 통신을 하고 금전 거래를 처리하는 핵심 요소들을 장악한다.
“현재까지 발견된 바로는, 윈도우 플랫폼에 기반을 둔 ATM 기기들만이 스키머에 취약합니다.” 카스퍼스키의 수석 보안 연구원인 세르게이 골로바노프(Sergey Golovanov)의 설명이다. “윈도우 버전은 특별히 문제될 것이 없습니다. 공격자들이 노리는 것은 윈도우에 설치된 XFS 서비스이거든요. XFS 서비스란 ATM 소프트웨어의 표준화 기술이라고 생각하면 됩니다. 즉 ATM 소프트웨어가, 모든 ATM 하드웨어에서 작동하도록 해주는 것이 XFS인데, 이걸 노린다는 것이죠.”
또한 스키머는 시스템에 계속 남아 사용자들의 카드에 부착되어 있는 자기 띠로부터 PIN 코드나 계좌번호와 같은 데이터를 조용히 모으기도 하고 특정 명령에 따라 현금을 인출시키기도 한다.
스키머가 무서운 건 공격자가 활성화시키기 전까지는 아무 것도 하지 않고 시스템에 조용히 남아있다는 것이다. 공격자들이 특수한 활성화 코드와 하드코딩된 명령을 전달하기 전까지 멀웨어는 시체놀이를 하듯 가만히 있기만 한다. 보안도 철저해 활성화를 시키려면 공격자가 멀웨어로부터 ‘인증’을 받아야 한다. 그밖에 업데이트 기능과 스스로를 삭제시키는 자가파괴 기능도 가지고 있다.
아직 수사가 진행 중이라 현재 얼마나 많은 ATM 시스템이 피해를 입었는지는 밝혀지지 않고 있다. 하지만 바이러스토탈(VirusTotal)에 올라온 샘플의 목록을 보면 최소 지난 2년 동안 세계 10개 지역에서 스키머가 ATM들을 공격해온 것을 알 수 있다. 대표적인 지역은 미국, 프랑스, 러시아, 스페인, 독일, UAE 등이다.
ATM은 사이버 범죄자들의 식지 않는 사랑을 받고 있는 공격 표적이다. 지난 달에도 ATM을 공격해주는 멀웨어 툴킷이 증가하고 있다는 것이 발견되었다. ATM 기기가 이처럼 계속된 공격에 시달리는 것은 “현금이 들어있고, 시스템 대부분이 노후했기 때문”이다. 윈도우 XP 기반인 ATM 시스템들이 아직도 많다는 게 일반적인 사실이다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
