2014.10.08

ATM 기기에서 현금을 훔치기 위해 악성코드 사용...카스퍼스키

Lucian Constantin | IDG News Service
범죄자들이 전세계에서 사용되는 ATM 기기로부터 현금을 빼낼 수 있도록 강제하는 특화된 악성코드 프로그램을 이용해 수백만 달러를 훔쳤다.

카스퍼스키랩 연구원들은 지난 화요일, 백도어.MSIL.튭킨(Backdoor.MSIL.Tyupkin)이라 불리는 이 악성 프로그램은 주요 제조업체의 ATM 기기를 실행하는 윈도우 32비트 버전에서 동작하도록 설계됐다고 밝혔다.

소프트웨어 취약점을 악용하는 것보다 공격자들은 일반적으로 잠겨진 패널에 의해 보호되던 물리적 접속 제어 권한을 획득함으로써 ATM 기기들을 감염시켰다.

이 악성코드는 ATM 기기에 부팅할 수 있는 CD를 직접 삽입함으로써 설치됐으며, 이후 범죄자들은 시스템을 재부팅시켜 ATM 기기를 장악했다.

카스퍼스키랩의 수석 보안 연구원 비센티 디아즈는 이메일을 통해 "이런 방법은 범죄자들이 ATM 소프트웨어를 동작할 수 있게 한다. 이는 소프트웨어 보호로써는 막을 수 없는, 완전히 다른 위협 레벨이다"고 전했다.

카스퍼스키랩은 국제경찰이 조사 중인 관계로 표적이 된 개발업체의 이름을 밝힐 수가 없다고 밝혔다.

연구원들은 동유럽 소재 은행 기관에 의해 운영되는 50대의 ATM 기기에서 악성코드가 발견됐다고 말했다.

그러나 악성코드 견본은 이미 미국, 인도, 중국 등을 포함한 다른 국가에서도 바이러스토털(VirusTotal)에 업로드됐다. 이는 전세계적으로 자체적으로 사용된 것으로 추정된다.

카스퍼스키랩 측은 이번 사건에서 본 바와 같이 사이버범죄는 갈수록 여러 예방적 조치들이 그들의 공격행위를 탐지하기 어렵게 하고 있다고 밝혔다.

예를 들어, 이번 악성코드는 PIN 패드를 통해 일요일과 월요일 밤동안만 단지 명령을 내리도록 설계했다.


ATM 기기의 상자 내에 화폐를 꺼내는 방법을 시연한 화면상에서 악성코드 프로그램의 그래픽 인터페이스를 보면, 공격자는 매번 다른 세션 키를 넣어야 한다.

이 키는 악성코드를 제어하려는 보안 프로그램을 방해하기 위해 공격자만이 알고 있는 알고리즘을 기반으로 만들어진다.

튭킨의 인터페이스는 현금인출기의 하나로부터 한번에 40장의 지폐를 뱉어낼 수 있도록 강제한다.

카스퍼스키 연구원들은 "이 악성코드 기반의 공격은 신용카드 상세 정보를 가로채기 위해 ATM에 사기 신용카드 리더기와 핀 패드를 설치하는 '신용카드 스키밍'을 뛰어넘는 자연스러운 진화다"며, "이 튭킨 악성코드는 공격 표적이 직접적으로 금융 기관과 그 공급망으로 바뀌고 있음을 보여주는 예시다"고 말했다.

다른 보안 연구원들은 지난 수년동안 이런 공격 형태의 가능성에 대해 경고해 왔다. 그 가운데 가장 인상적인 것은 2010년 블랙햇 보안 컨퍼런스에서 바너비 잭이라는 이름의 하드웨어 해커가 ATM 기기를 침투하는 시연을 선보인 것이다.

잭은 물리적으로 ATM의 USB 포트에 접속해 소프트웨어 익스플로잇을 심어 현금을 강제로 토해내게 했다.

은행들은 자사의 ATM 기기들의 물리적 보안을 재점검해야 한다. 특히 제조업체에 의해 제공되는 기본적인 자물쇠에 의존하지 말고 ATM 기기의 모든 자물쇠와 마스터 키를 대체해야 한다.

또한 은행들은 ATM 기기에 물리적 접속에 대한 경고 시스템을 설치해야 하는데, 카스퍼스키 측은 튭킨과 같은 사이버 범죄는 이런 보안 경고가 설치되지 않은 ATM 기기만을 감염시킨다"고 전했다. editor@itworld.co.kr


2014.10.08

ATM 기기에서 현금을 훔치기 위해 악성코드 사용...카스퍼스키

Lucian Constantin | IDG News Service
범죄자들이 전세계에서 사용되는 ATM 기기로부터 현금을 빼낼 수 있도록 강제하는 특화된 악성코드 프로그램을 이용해 수백만 달러를 훔쳤다.

카스퍼스키랩 연구원들은 지난 화요일, 백도어.MSIL.튭킨(Backdoor.MSIL.Tyupkin)이라 불리는 이 악성 프로그램은 주요 제조업체의 ATM 기기를 실행하는 윈도우 32비트 버전에서 동작하도록 설계됐다고 밝혔다.

소프트웨어 취약점을 악용하는 것보다 공격자들은 일반적으로 잠겨진 패널에 의해 보호되던 물리적 접속 제어 권한을 획득함으로써 ATM 기기들을 감염시켰다.

이 악성코드는 ATM 기기에 부팅할 수 있는 CD를 직접 삽입함으로써 설치됐으며, 이후 범죄자들은 시스템을 재부팅시켜 ATM 기기를 장악했다.

카스퍼스키랩의 수석 보안 연구원 비센티 디아즈는 이메일을 통해 "이런 방법은 범죄자들이 ATM 소프트웨어를 동작할 수 있게 한다. 이는 소프트웨어 보호로써는 막을 수 없는, 완전히 다른 위협 레벨이다"고 전했다.

카스퍼스키랩은 국제경찰이 조사 중인 관계로 표적이 된 개발업체의 이름을 밝힐 수가 없다고 밝혔다.

연구원들은 동유럽 소재 은행 기관에 의해 운영되는 50대의 ATM 기기에서 악성코드가 발견됐다고 말했다.

그러나 악성코드 견본은 이미 미국, 인도, 중국 등을 포함한 다른 국가에서도 바이러스토털(VirusTotal)에 업로드됐다. 이는 전세계적으로 자체적으로 사용된 것으로 추정된다.

카스퍼스키랩 측은 이번 사건에서 본 바와 같이 사이버범죄는 갈수록 여러 예방적 조치들이 그들의 공격행위를 탐지하기 어렵게 하고 있다고 밝혔다.

예를 들어, 이번 악성코드는 PIN 패드를 통해 일요일과 월요일 밤동안만 단지 명령을 내리도록 설계했다.


ATM 기기의 상자 내에 화폐를 꺼내는 방법을 시연한 화면상에서 악성코드 프로그램의 그래픽 인터페이스를 보면, 공격자는 매번 다른 세션 키를 넣어야 한다.

이 키는 악성코드를 제어하려는 보안 프로그램을 방해하기 위해 공격자만이 알고 있는 알고리즘을 기반으로 만들어진다.

튭킨의 인터페이스는 현금인출기의 하나로부터 한번에 40장의 지폐를 뱉어낼 수 있도록 강제한다.

카스퍼스키 연구원들은 "이 악성코드 기반의 공격은 신용카드 상세 정보를 가로채기 위해 ATM에 사기 신용카드 리더기와 핀 패드를 설치하는 '신용카드 스키밍'을 뛰어넘는 자연스러운 진화다"며, "이 튭킨 악성코드는 공격 표적이 직접적으로 금융 기관과 그 공급망으로 바뀌고 있음을 보여주는 예시다"고 말했다.

다른 보안 연구원들은 지난 수년동안 이런 공격 형태의 가능성에 대해 경고해 왔다. 그 가운데 가장 인상적인 것은 2010년 블랙햇 보안 컨퍼런스에서 바너비 잭이라는 이름의 하드웨어 해커가 ATM 기기를 침투하는 시연을 선보인 것이다.

잭은 물리적으로 ATM의 USB 포트에 접속해 소프트웨어 익스플로잇을 심어 현금을 강제로 토해내게 했다.

은행들은 자사의 ATM 기기들의 물리적 보안을 재점검해야 한다. 특히 제조업체에 의해 제공되는 기본적인 자물쇠에 의존하지 말고 ATM 기기의 모든 자물쇠와 마스터 키를 대체해야 한다.

또한 은행들은 ATM 기기에 물리적 접속에 대한 경고 시스템을 설치해야 하는데, 카스퍼스키 측은 튭킨과 같은 사이버 범죄는 이런 보안 경고가 설치되지 않은 ATM 기기만을 감염시킨다"고 전했다. editor@itworld.co.kr


X