보안

최신 악성코드 스키머, ATM 기기에서 현금을 쉽게 훔친다

Lucian Constantin | IDG News Service 2016.05.18
보안 연구원들이 '스키머(Skimer)'라 부르는 악성코드의 새로운 버전을 발견했다. 이 악성코드는 윈도우 기반의 ATM 기기를 감염시켜 현금과 직불 카드 상세 정보를 훔치는 데 사용될 수 있다.

초기 스키머는 7년 전에 발견됐지만 꾸준히 사용되어왔다. 시간이 지남에 따라 이 악성코드는 사이버범죄자들에 의해 진화됐다. 최근 현대화된 버전은 5월 초, 카스퍼스키 연구원들에 의해 발견됐는데, 탐지를 우회하는 새로운 기술이 탑재됐다.

일단 설치되면 이 악성코드는 파일 시스템이 FAT32 또는 NTFS 인지를 파악한다. FAT32 파일형태라면 악의적인 실행 파일을 C:\Windows\System32 디렉터리 내에 심는다. 그러나 NTFS 라면 마이크로소프트의 XFS(Extension for Financial Services) 서비스에 해당하는 NTFS 데이터 스트림 내에 파일을 쓸 것이다.

카스퍼스키 연구원들은 "이 기술은 포렌식 분석을 아주 어렵게 만든다"고 말했다. XFS 서비스는 단지 ATM 기기에만 존재하며 ATM의 PIN 패드와 통신할 수 있는 소프트웨어인 특수 API(application programming interface)를 제공한다.

마이크로소프트는 이 서비스에 대한 어떠한 공개 문서를 제공하지 않는다. 하지만 사이버범죄자들은 ATM 제조업체인 NCR에서 나온 프로그래머들의 레퍼런스 매뉴얼 속에서 정보를 가로채는데 필수적인 정보를 발견했을 지 모른다. 수년 전, 중국 e북 사이트가 유출된 바 있기 때문이다.

스키머는 최근 수년동안 발견된 ATM 기기를 감염시키기 위해 디자인된 여러 악성코드 프로그램 가운데 하나로, 공격의 수단으로 사이버범죄자 사이에서 인기를 끌고 있는 것으로 추정된다.

과거 ATM 기기에 악성코드 프로그램을 설치하는 방법은 다양했다. 어떤 경우에는 내부자들이 설치하기도 했으며, 특수 키를 사용하는 ATM 기기의 전면 케이스을 연 후, CD 드라이브로부터 부팅에 의해 설치되기도 했다.

또한 공격자들은 은행 내부 네트워크와 연결된 ATM 기기의 경우 훔친 신원 정보를 이용해 원격 지원을 사용해 해킹할 수 있다.

카스퍼스키 연구원들은 정기적인 안티바이러스 업데이트와 화이트리스팅(whitelisting) 기술, 좋은 기기 관리 정책, 전체 디스크 암호화(full disk encryption), ATM BIOS에 비밀번호를 걸고 HDD 부팅만을 허용하고 다른 내부 은행 네트워크에서 ATM 기기를 격리하도록 권고했다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.