윈도XP 기반 ATM, 해킹에 속수무책

2014년 3월 27, 시만텍(www.symantec.co.kr)이 윈도XP 지원종료일을 앞두고, 문자 메시지를 통해 현금을 인출할 수 있는 악성코드를 발견해 ATM(현금자동입출금기) 보안에 관한 주의를 당부했다. 시만텍에 따르면 현재 전세계 약 95%의 ATM이 윈도XP 기반으로 운영되고 있으며, 오는 4월 8일 윈도XP 기술 지원이 종료되면 금융권은 심각한 보안 위협에 직면하게 될 것으로 예상했다.

시만텍은 2013년 하반기 멕시코에서 외부 키보드를 통해 ATM에 저장된 현금을 인출하는 악성코드 'Backdoor.Ploutus'를 발견했다. 또한, 이후 모듈식 아키텍처(Modular Architecture)로 변형된 악성코드 'Backdoor.Ploutus.B'를 추가로 발견했다. 이 악성코드는 영어로도 번역돼 공격자가 다른 나라에도 이를 유포할 의도가 있었음을 알 수 있다. 시만텍은 이 공격 기술이 현재 세계 여러 곳에서 시도되고 있는 것으로 분석했으며, 실제로 이 변종 악성코드로 ATM을 감염시켜 현금인출 과정을 실험했다.

참고영상: http://www.symantec.com/tv/products/details.jsp?vid=3363151292001

ATM에서 현금을 인출하는 방법

1. ATM에 악성코드를 설치한 후 해당 ATM기기의 USB 단자를 통해 휴대전화를 연결
2. ATM과 연결된 휴대전화에 2가지 문자 메시지를 발송
-문자 1: 해당 ATM 기기 내부에서 악성코드를 실행을 위한 유효 활성화 ID를 포함
-문자 2: 돈을 인출하기 위한 유효 인출 명령 포함
3. ATM 과 연결된 휴대전화로 전달 받은 문자 메시지를TCP 혹은 UDP로 ATM에 전송
4. ATM 내부에 있는 네트워크 패킷 모니터 모듈은 TCP/UDP 패킷을 받아 악성코드 실행
5. 악성코드가 실행되면 ATM은 자동으로 현금을 인출(액수는 해당 악성코드에 미리 입력)
6. ATM에서 인출된 현금은 자금운반책(Money Mule)을 통해 수거

ATM 보안 방안

최신 ATM 기기는 외부 장치를 통한 악성코드 설치를 방지하기 위해 암호화한 HDD를 장착하는 등 향상된 보안 기능을 제공한다. 반면, 노후화된 ATM은 여전히 윈도XP를 탑재하고 있어 보안 위협에 취약하다. 특히 외부에 설치된 ATM은 더 위험하다. 시만텍은 ATM 보안을 위해 다음과 같은 대비책을 마련할 것을 권고했다.

1. 윈도7 혹은 8 등 상위 운영체제로 전환
2. 적절한 물리적 보안을 구축하고 CCTV로 해당 ATM 감시
3. 허가되지 않은 외부장치를 통한 부팅(CD-ROM, USB 등)을 방지하기 위해 해당 기기의 바이오스 잠금설정
4. 디스크 부당변경(Disk Tampering) 방지를 위한 디스크 암호화
5. '시만텍 데이터센터 시큐리티' 등 락 다운(lock down) 보안 솔루션 설치

시만텍코리아 윤광택 이사는 "시만텍은 엔드포인트, 서버, 일반소비자 보안 솔루션 제품을 통해 윈도XP 시스템을 지속적으로 지원할 예정이다. 하지만 무엇보다 상위 운영체제로 업그레이드하는 것이 중요하다"며, "특히 시스템에 대한 전면적 업그레이드 및 물리적 교체전까지는 ATM에 특화된 보안 솔루션을 적용해 시스템을 보호할 것을 권장한다"고 말했다.

글 / IT동아 이상우(lswoo@itdonga.com)

http://www.symantec.com/tv/products/details.jsp?vid=3363151292001