.gif)
멀웨어 직접 주입부터 스마트폰 활용까지... 공격 방법 다양
자기 띠 대체하는 EMV 시스템 역시 안전하지 않아
[보안뉴스 문가용] 2010년 바나비 잭(Barnaby Jack)이란 해커가 ATM을 겨냥한 잭파팅(jackpotting) 공격을 선보였다. 그리고 지금 세계 각지의 ATM 기기들은 온갖 범죄단의 잭파팅 공격에 시달리고 있다. ATM 운영자들이 EMV 기술을 생각보다 느리게 도입하고 있으며, 물리 보안 상태도 그리 좋지 못하고, 하드웨어 업그레이드도 잘 하고 있지 않기 때문이다. 임베디드 시스템 유지도 훌륭하다고 볼 수 없고, 미들웨어도 새로운 공격 루트로 떠올랐다.
.jpg)
올해 4월, 보안 업체인 트렌드 마이크로(Trend Micro)는 ATM을 공격하는 멀웨어가 점점 늘어나고 있다는 경고를 발했다. 최근 ATM 공격자들은 대부분 해커와 자금 운반책과 돈 세탁자들까지 개입된 대형 범죄조직이며, 은행과 ATM 운영자, 계좌 주인까지 모두 엄청난 손해를 끼친다. 그것도 겨우 수 시간 내에 말이다.
스마트폰을 통한 ATM 공격
지난 7월, 한 대형 조직이 ATM 여러 대로부터 짧은 시간 안에 어마어마한 돈을 훔쳐내는 사건이 있었다. 이 사건에서 주목해야 할 건, 기존의 ATM 도난 사건에서처럼 지불카드를 사용한 것이 아니라 스마트폰만을 사용했다는 것이다.
해당 사건을 보도한 사우스차이나모닝포스트(South China Morning Post)에 의하면, 조직원들을 2인조로 구성한 이 범죄단은 41개의 대만 퍼스트뱅크(First Bank) ATM 기기로부터 2백만 67달러를 훔쳤다. 수사를 벌인 경찰이 세 명의 용의자를 체포했는데, 각각 몰도바, 라트비아, 루마니아 출신이었다. 아직 이들이 전부가 아니라고 보고 수사를 진행 중에 있다. 경찰은 총 16명이 이 사건에 연루되었다고 보고 있으며 대부분 이미 출국했을 거라고 한다. 다행히 도난당한 돈의 대부분은 되찾았다. 하지만 스마트폰을 사용해 ATM기로부터 현금을 빼낸 방법 자체에 대해서는 파악이 전혀 되지 않고 있다.
물리적인 접근을 통한 멀웨어 심기
2년 전, 시만텍의 연구원들은 ATM 전용 멀웨어인 플로우투스(Ploutus)에 대한 보고서를 발표했다. 플로우투스는 SMS 메시지를 통해 ATM기에 ‘현금을 뱉어내라’라는 명령을 전달할 수 있게 해주는 멀웨어였다. 공격자들은 ATM 기기에 물리적으로 접근해 뚜껑을 열고 USB를 통해 전화기와 ATM 시스템을 직접 연결해서 멀웨어를 심었다. 호주의 ABC 뉴스는 보안 전문가들이 해당 ATM 기기에서 한 가지가 아니라 세 가지 멀웨어를 발견했다는 보도를 하기도 했다.
돌아다니는 개인정보 활용한 범죄
지난 5월, 약 100명 정도로 구성된 것으로 보이는 거대 단체가 일본의 ATM 기기들에서 약 세 시간 만에 1천 2백 8십만 달러를 훔친 사건이 일어났다. 방법은 굉장히 간단했다. 동시에 여러 팀들이 전국 각지의 세븐일레븐 편의점에 들어가 돈을 인출한 것 뿐이었다. 이들이 동원한 건 가짜 신용카드였고, 이 가짜 신용카드들은 남아공의 스탠다드뱅크(Standard Bank) 고객 1,600명의 개인정보를 훔쳐서 만든 것이었다. 세븐일레븐 ATM 기기가 표적으로 선택된 건 해외에서 발행된 신용카드로 거래가 가능했기 때문이었다.
새로운 멀웨어가 또...
지난 5월, 보안 전문업체인 카스퍼스키(Kaspersky)의 전문가들은 ATM 멀웨어인 스키머(Skimer)의 새로운 변종을 발견했다. 스키머 변종은 기기에 직접 설치될 수도 있지만 원격에서도 설치가 가능하다. 원격 설치를 하려면 먼저 ATM이 연결되어 있는 네트워크에 침투해야 한다. 이렇든 저렇든 한 번 설치에 성공하면 스키머는 공격자들이 나타날 때까지 아무런 행동을 하지 않고 그대로 남아있다.
그러다 공격자가 와서 ‘마법의 카드’를 기기에 삽입한다. 물론 이 ‘마법의 카드’라는 건 지불카드 대신 넣는 것이다. 그러면 스키머가 발동해 이전 ATM 사용자의 자기 띠 정보를 읽어 들이거나 현금이 쏟아지도록 만든다. 물론 해당 행위에 대한 명령은 공격자가 내린다. 스키머가 특별히 노리는 건 윈도우 기반 기술이자 ATM 소프트웨어의 표준화를 위해 도입된 XFS의 취약점이다. 따라서 브랜드나 은행에 상관없이 대부분 공격을 성공시킨다.
ATM 공격은 각종 보안 컨퍼런스에 자주 등장하는 주제다. 이번 블랙햇에서도 라피드7(Rapid7)이라는 보안업체가 차세대 ATM 기기 및 EMV 기반의 카드 역시 믿음직스럽지 못하다는 걸 증명해낸 바 있다. 현금이라는 것 자체가 없어지지 않는 한 ATM 기기들은 끊임없는 공격에 시달릴 것인데, 이에 대한 대처가 아직도 나오지 않고 있다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
자기 띠 대체하는 EMV 시스템 역시 안전하지 않아
[보안뉴스 문가용] 2010년 바나비 잭(Barnaby Jack)이란 해커가 ATM을 겨냥한 잭파팅(jackpotting) 공격을 선보였다. 그리고 지금 세계 각지의 ATM 기기들은 온갖 범죄단의 잭파팅 공격에 시달리고 있다. ATM 운영자들이 EMV 기술을 생각보다 느리게 도입하고 있으며, 물리 보안 상태도 그리 좋지 못하고, 하드웨어 업그레이드도 잘 하고 있지 않기 때문이다. 임베디드 시스템 유지도 훌륭하다고 볼 수 없고, 미들웨어도 새로운 공격 루트로 떠올랐다.
올해 4월, 보안 업체인 트렌드 마이크로(Trend Micro)는 ATM을 공격하는 멀웨어가 점점 늘어나고 있다는 경고를 발했다. 최근 ATM 공격자들은 대부분 해커와 자금 운반책과 돈 세탁자들까지 개입된 대형 범죄조직이며, 은행과 ATM 운영자, 계좌 주인까지 모두 엄청난 손해를 끼친다. 그것도 겨우 수 시간 내에 말이다.
스마트폰을 통한 ATM 공격
지난 7월, 한 대형 조직이 ATM 여러 대로부터 짧은 시간 안에 어마어마한 돈을 훔쳐내는 사건이 있었다. 이 사건에서 주목해야 할 건, 기존의 ATM 도난 사건에서처럼 지불카드를 사용한 것이 아니라 스마트폰만을 사용했다는 것이다.
해당 사건을 보도한 사우스차이나모닝포스트(South China Morning Post)에 의하면, 조직원들을 2인조로 구성한 이 범죄단은 41개의 대만 퍼스트뱅크(First Bank) ATM 기기로부터 2백만 67달러를 훔쳤다. 수사를 벌인 경찰이 세 명의 용의자를 체포했는데, 각각 몰도바, 라트비아, 루마니아 출신이었다. 아직 이들이 전부가 아니라고 보고 수사를 진행 중에 있다. 경찰은 총 16명이 이 사건에 연루되었다고 보고 있으며 대부분 이미 출국했을 거라고 한다. 다행히 도난당한 돈의 대부분은 되찾았다. 하지만 스마트폰을 사용해 ATM기로부터 현금을 빼낸 방법 자체에 대해서는 파악이 전혀 되지 않고 있다.
물리적인 접근을 통한 멀웨어 심기
2년 전, 시만텍의 연구원들은 ATM 전용 멀웨어인 플로우투스(Ploutus)에 대한 보고서를 발표했다. 플로우투스는 SMS 메시지를 통해 ATM기에 ‘현금을 뱉어내라’라는 명령을 전달할 수 있게 해주는 멀웨어였다. 공격자들은 ATM 기기에 물리적으로 접근해 뚜껑을 열고 USB를 통해 전화기와 ATM 시스템을 직접 연결해서 멀웨어를 심었다. 호주의 ABC 뉴스는 보안 전문가들이 해당 ATM 기기에서 한 가지가 아니라 세 가지 멀웨어를 발견했다는 보도를 하기도 했다.
돌아다니는 개인정보 활용한 범죄
지난 5월, 약 100명 정도로 구성된 것으로 보이는 거대 단체가 일본의 ATM 기기들에서 약 세 시간 만에 1천 2백 8십만 달러를 훔친 사건이 일어났다. 방법은 굉장히 간단했다. 동시에 여러 팀들이 전국 각지의 세븐일레븐 편의점에 들어가 돈을 인출한 것 뿐이었다. 이들이 동원한 건 가짜 신용카드였고, 이 가짜 신용카드들은 남아공의 스탠다드뱅크(Standard Bank) 고객 1,600명의 개인정보를 훔쳐서 만든 것이었다. 세븐일레븐 ATM 기기가 표적으로 선택된 건 해외에서 발행된 신용카드로 거래가 가능했기 때문이었다.
새로운 멀웨어가 또...
지난 5월, 보안 전문업체인 카스퍼스키(Kaspersky)의 전문가들은 ATM 멀웨어인 스키머(Skimer)의 새로운 변종을 발견했다. 스키머 변종은 기기에 직접 설치될 수도 있지만 원격에서도 설치가 가능하다. 원격 설치를 하려면 먼저 ATM이 연결되어 있는 네트워크에 침투해야 한다. 이렇든 저렇든 한 번 설치에 성공하면 스키머는 공격자들이 나타날 때까지 아무런 행동을 하지 않고 그대로 남아있다.
그러다 공격자가 와서 ‘마법의 카드’를 기기에 삽입한다. 물론 이 ‘마법의 카드’라는 건 지불카드 대신 넣는 것이다. 그러면 스키머가 발동해 이전 ATM 사용자의 자기 띠 정보를 읽어 들이거나 현금이 쏟아지도록 만든다. 물론 해당 행위에 대한 명령은 공격자가 내린다. 스키머가 특별히 노리는 건 윈도우 기반 기술이자 ATM 소프트웨어의 표준화를 위해 도입된 XFS의 취약점이다. 따라서 브랜드나 은행에 상관없이 대부분 공격을 성공시킨다.
ATM 공격은 각종 보안 컨퍼런스에 자주 등장하는 주제다. 이번 블랙햇에서도 라피드7(Rapid7)이라는 보안업체가 차세대 ATM 기기 및 EMV 기반의 카드 역시 믿음직스럽지 못하다는 걸 증명해낸 바 있다. 현금이라는 것 자체가 없어지지 않는 한 ATM 기기들은 끊임없는 공격에 시달릴 것인데, 이에 대한 대처가 아직도 나오지 않고 있다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
