스마트폰 문자로 ATM 해킹

스마트폰 문자 메시지로 ATM에 원격 명령을 내려 현금을 빼내는 해킹 수법이 공개됐습니다. 전 세계 ATM의 약 95%가 윈도우즈 XP를 기반으로 하는 만큼 국내에서도 대비가 필요할 것으로 보입니다. 지난 2013년 말 멕시코에서 발견한 ATM 악성코드의 변종을 악용한 신종 해킹 수법에서 일명 '백도어.플루토스(Backdoor.Ploutus)'라는 악성코드에 감염된 ATM 시스템은 범죄자들이 직접 비밀번호 등을 입력하지 않더라도 스마트폰을 통해 현금을 인출하는게 가능했습니다.

이 악성코드는 새로운 기능을 추가하거나 변경할 수 있는 모듈형 아키텍처로 진화하고 있고, 기존에 스페인어 버전으로 등장했던 플루토스의 변종은 영어 버전으로도 제공되고 있습니다. 새롭게 공개된 변종 플루토스(Backdoor.Ploutus.B)는 감염된 ATM에 스마트폰으로 문자메시지를 보내는 것만으로 현금을 인출시킨다고 하네요.

공격 수법은 먼저 ATM 내에 운영체제(OS) 재부팅, 업데이트 등의 용도로 사용되는 USB포트에 스마트폰을 연결한 뒤 USB 테더링을 활성화 시켜 이를 통해 ATM 내부 시스템과 스마트폰간 인터넷 연결을 하는 것으로 다음 해커는 또 다른 스마트폰으로 ATM에 연결된 스마트폰에 공격명령을 내리는 문자메시지를 보냅니다. 해당 문자메시지를 받은 스마트폰은 ATM 내부 시스템에 설치된 악성코드를 작동시켜고, 외부 스마트폰은 ATM의 권한을 탈취해 일종의 컨트롤러 역할을 하게 됩니다.

이를 통해 전송된 두 개의 문자메시지 중 첫번째 문자에는 플루토스를 작동시키기 위한 활성화된 ID를, 두번째는 인출할 현금액수를 포함하고 있으며 스마트폰은 허용된 문자를 발견해 이 내용을 ATM에 패킷 형태로 TCP나 UDP 방식으로 전송하여 ATM 내부에 설치된 네트워크 패킷 모니터(NPM) 모듈이 해당 패킷을 받게 되고, 해커가 내린 명령어라는 사실이 확인되면 플루토스가 실행돼, 미리 입력한 금액만큼 ATM에서부터 현금을 뽑아낼 수 있게 되는 방식입니다.

과거에도 유사한 ATM 해킹 수법이 있었지만 현금을 인출하는 해커 대신 중간 운반책이 직접 ATM에 특정 숫자를 입력하는 등의 방법이 사용되었으나 새로 발견된 수법은 스마트폰만 있으면 운반책이 따로 필요없이 현금을 뽑아낼 수 있다는 점에서 위험성이 높습니다. `플루토스`의 경우는 공격자들이 ATM 내부에서부터 현금을 인출하지만 일부 다른 악성코드들은 사용자가 신용카드를 집어넣었을 때 카드 정보와 비밀번호를 훔쳐내기도 합니다.

이 문제는 아직 업데이트가 되지 않은 구버전 ATM에만 적용되고, 시만텍에 따르면 최근 출시되는 ATM은 내장된 하드디스크를 암호화 해 이러한 공격이 불가능하다고 합니다. 그렇지만 윈도우즈 XP를 기반으로 하는 구버전 ATM은 여전히 이러한 문제를 막기 어려워 이에 대한 해결책으로 근본적으로는 ATM 운영체제를 윈도7, 8 이상으로 업그레이드를 하거나 ATM에 대한 CCTV 모니터링 강화, CD롬, USB드라이브 등과 같은 외부 저장매체를 통한 BIOS 부팅 잠금, ATM 시스템 전체 하드디스크에 대한 암호화, 시스템 잠금 솔루션 등이 있습니다.

기사참조 - http://www.zdnet.co.kr/news/news_view.asp?artice_id=20140326100222