December 14,2017

해킹에 취약한 ATM 기기

국내 1억 여원 피해 발생해

FacebookTwitter

금융감독원의 ‘금융회사 CD/ATM기기 운영체제 현황자료’에 따르면, 국내 현금자동입출금기 (ATM 기기)의 25%는 해킹에 상당히 취약하다. 전국 ATM 기기 수는 4만 6097대이다. 이 중 1만 2032대 (26.1%)가 윈도XP를 아직도 사용하고 있다.

마이크로소프트 (MS) 에서 개발한 윈도XP는 현재 해킹에 상당히 취약하다. MS는 3년 전부터 윈도XP에 대한 보안 패치를 중단했기 때문이다. 워너크라이 사태는 윈도XP가 보안에 취약하다는 점을 일깨워 준 사건이다. 지난 5월 해커는 랜섬웨어인 워너크라이를 이용해서 윈도XP 사용자에게 큰 피해를 줬다.

ATM 기기는 자금을 다루는 기기이기 때문에, 은행은 보안에 많이 신경 써야 한다. 그런데도, ATM 기기 보안은 허술하다. 지상욱 의원이 지적했듯이, 보안에 취약한 윈도XP를 사용하는가 하면, 보안 시스템이 구축되지 않은 ATM 기기도 있다.

ATM 기기는 해킹에 상당히 취약한 것으로 알려져 있다. ⓒ Pixabay

ATM 기기는 해킹에 상당히 취약한 것으로 알려져 있다. ⓒ Pixabay

국내 ATM 기기 해킹으로 1억 3천만 원 피해 발생해

실제로 ATM 기기 해킹으로 인해서, 은행은 금전적인 손해를 입은 여러 사례가 있다. 지난해 태국에서 ATM 기기가 해킹되어 돈을 탈취당한 사건이 일어났다. 은행이 공격을 받았고, 피해 금액은 무려 27억 원에 달했다. 감염 ATM 기기 조사결과, 악성코드 ‘리퍼’가 삽입돼 있었다. 리퍼는 IC 카드 표준 규격인 EMV (Europay Mastercard Visa)에 특수한 인증코드가 있을 때만 ATM 기기를 조작하게 해서 돈을 가로챈다.

올해 국내도, ATM 기기 해킹으로 1억 3천만 원가량의 손실을 본 사례가 있다. 사건의 발단은 3월로 거슬러 올라간다. 정부는 편의점·대형할인점에 설치된 ATM 기기 63대가 감염됐다는 사실을 발견했다. 그리고 감염 ATM 기기에 삽입한 2,500여 개 카드의 정보가 유출될 수 있다는 것을 파악했다. 아울러 대만에서 300만 원치의 현금이 부정 인출된 사실도 확인했다.

우선 정부는 피해 가능성이 있는 2,500여 개 카드 정보를 35개 금융회사에 신속히 전달해서, 카드 이용자가 정보를 바꾸게 했다. 그리고 해당 카드의 정보를 바탕으로 ATM 기기의 인출 관리를 더욱더 강화했다. 덕분에 큰 피해는 없었고, 사건은 마무리되는 것처럼 보였다.

지난 9월 경찰 사이버 수사대는 부정인출로 1억 246만 원가량의 피해를 본 사실을 발견했다. 피의자는 유출된 금융정보로 복제카드를 만들었는데, 복제카드 정보 근원지는 지난 3월 ATM 해킹에서 유출한 정보인 것으로 드러났다. 피의자는 복제카드를 가지고 현금인출, 대금결제 그리고 고속도로 충전에 사용하였다.

정부는 북한의 소행이라는 사실을 밝혀냈는데, 북한은 외환 벌이 목적으로 ATM 63대를 해킹하고 ATM에서 유출한 카드 정보를 4명의 피의자에게 판매했다. 유출된 금융정보는 약 24만 건에 이르는 것으로 확인됐다.

북한은 ATM 기기 해킹으로 카드 정보를 유출시켰다. ⓒ Max Pixel

북한은 ATM 기기 해킹으로 카드 정보를 유출시켰다. ⓒ Max Pixel

다양한 방식으로 ATM 기기를 해킹할 수 있어

ATM 기기 해킹 취약점은 예전부터 제기되었다. 2010년 세계 최대 보안 콘퍼런스인 ‘블랙햇 (Blackhat)’에서, 보안 전문 기업 아이오액티브 (iOActive)는 ATM 기기 해킹 과정을 소개했다. 해킹은 3단계 과정을 거친다. 먼저 ATM 기기 접근 방법을 선정한다. 그리고 ATM 기기를 감염시키고 장악한다. 마지막으로 카드 정보를 유출하거나, 부정 인출을 한다.

ATM 기기 접근방법은, ATM 기기에 악성코드를 심는 것을 말한다. 네트워크와 물리적인 방법으로 나눌 수 있다. 전자의 방법은 원격으로 ATM 기기에 악성코드를 심는 방법이다. ATM 기기는 네트워크에 연결된 경우가 많다. 중앙 서버와 통신하기 위해서이다. 따라서 원격으로 ATM 기기에 접근해서, 악성코드를 심을 수 있다. 앞서 소개한, 국내 ATM 해킹이 이에 해당한다. 북한은 네트워크를 이용해서 원격으로 63대 ATM 기기를 해킹시켰다.

해커는 중앙 서버 및 통신 구간 해킹으로 ATM 기기에 악성코드를 삽입 할 수 있다. 사이버 보안 전문 기업 ‘카스퍼스키’는 ‘카르바나크’라고 불리는 해커 집단이 2013년부터 2년간 30여 개국의 100개 은행을 해킹한 사실을 발견했다. 피해 금액은 약 1.2조 원에 달할 것으로 추정된다.

수법은 중앙은행 서버를 직접 해킹하는 것이었다. 해커는 은행의 전산 담당 직원을 대상으로 악성 메일을 보냈다. 그리고 메일을 열어본 직원의 컴퓨터를 감염시켰고, 점차 감염 범위를 확대해서, 서버까지 해킹한 것이다. 서버에서 ATM 기기 조종이 가능하므로, ATM 기기에서 몰래 돈을 찾아갔다. 해킹 대상 자체가 은행이었기 때문에, 개인에게는 손해가 가지 않았다. 은행만 금전적인 손실을 보았다.

해커는 통신 구간에 개입해서 ATM 기기를 악성코드에 감염시킬 수 있다. 이를 중간자 공격이라고 부른다. 해커는 통신 구간에 끼어들어 중앙은행의 서버처럼 행동해서, ATM 기기를 조작할 수 있다. 혹은 해커는 통신 구간에 몰래 잠입하여, 통신 시에 악성코드를 심어서 ATM 기기를 감염시킬 수 있다.

물리적인 방법은 ATM 기기에 직접 접근해서 악성코드를 삽입하는 방법이다. ATM 기기의 물리적 접근은 제한이 없다. 따라서 해커는 직접 ATM 기기의 USB 포트 및 네트워크 포트로 연결해서, 악성코드를 삽입할 수 있다. 카스퍼스키는 ATM 기기의 물리적 보안의 취약성이 해킹을 쉽게 만든다고 언급했다.

카스퍼스키는 ATM 해킹 도구인 ‘커틀릿 메이커’를 발견했다. 범죄 사이트에서 약 570만 원에 거래되고 있다. 커틀릿 메이커는 일반인들이 ATM 기기를 쉽게 해킹할 수 있게 하는 것이 특징이다. ATM 기기의 USB 포트에 연결해서 악성코드를 감염시킬 수 있으며, ATM 기기의 돈을 모두 찾을 수 있다.

ATM 기기는 다양한 경로로 해킹할 수 있다. 더욱이 보안 시스템은커녕, 윈도XP를 기반으로 동작하는 기기도 있다. 이처럼 해킹에 상당히 취약하다. 올해 국내 ATM 해킹 사건이 처음으로 발생했는데, 이제부터라도 ATM 기기 해킹에 대해서 경각심을 가질 필요가 있다. ATM 기기 자체 내에 보안 시스템을 설치해서, 악성코드 탐지 기능을 갖게 해야 한다. 그리고 통신 네트워크를 암호화하고, 접근제어로 제삼자가 ATM 기기에 쉽게 접근하지 못하게 해야 한다.

의견달기(0)