ATM서 돈 빼가는 해킹 패키지, 뭘 담고 있나

카스퍼스키랩, 암시장서 거래되는 '커틀릿메이커' 발견

컴퓨팅입력 :2017/10/18 18:13

손경호 기자

ATM에 접근할 수만 있으면 대량으로 현금을 빼낼 수 있게 하는 새로운 해킹툴이 암거래 시장에서 판매되고 있다는 사실이 확인됐다.

글로벌 보안기업 카스퍼스키랩 연구진은 다크넷이라 불리는 암거래 시장에서 5천달러에 거래되는 ATM해킹툴 '커틀릿메이커(Cutlet Maker)'를 발견했다고 18일 밝혔다.

한화로 560여만원에 거래돼 온 이 해킹툴은 ATM과 원격 통신하는 모듈 역할을 하는 커틀릿메이커 소프트웨어와 함께 해당 소프트웨어를 실행하고 무단 사용을 방지하기 위해 암호를 생성하는 'c0decalc'라는 프로그램, ATM의 현재 상태를 식별해 범죄자에게 대상 ATM이 보유한 통화 종류나 지폐수 등을 제공해 가장 많은 금액을 보유한 기기에서 현금을 훔쳐낼 수 있게 돕는 애플리케이션 등으로 구성됐다.

알파베이라는 해킹툴 암거래 시장에서 ATM 해킹툴인 '커틀릿메이커'가 5천달러에 거래되고 있다는 사실이 확인됐다.(자료=카스퍼스키랩 블로그)

카스퍼스키랩 블로그에 따르면 이 해킹툴을 악용해 ATM에서 돈을 빠져나가는 과정은 다음과 같다.

범죄자는 물리적으로 ATM에 탑재된 USB포트에 접근할 수 있는 방법을 알아낸 뒤 해당 포트를 통해 악성코드를 설치한다. 이를 통해 여러 대 ATM 중 가장 많은 현금을 확보하고 있는 기기를 찾아낸다.

그 뒤에는 ATM을 원격 조종할 수 있는 이 해킹툴에 걸려있는 보호장치를 풀기 위해 암호를 입력해야 한다. 암호는 노트북, 태블릿 등 다른 기기에 설치해 둔 c0decalc 프로그램을 실행해 생성한다. 다른 범죄자가 비용을 지불하지 않고 무단으로 해당 툴을 사용하는 것을 막기 위한 일종의 저작권 보호기능을 제공하는 셈이다. 이런 작업을 거치면 커틀릿메이커가 ATM에 명령을 내려 현금을 인출할 수 있게 된다.

카스퍼스키랩에 따르면 최근 들어 악성코드 개발자들은 ATM 해킹툴 개발에 집중해 컴퓨터에 대한 전문적인 지식을 갖추지 않은 범죄자들까지도 돈만 지불하면 쓸 수 있는 제품을 고안하고 있다.

올해 초 이 기업의 파트너사 중 한 곳은 지금까지 알려지지 않았던 악성코드 샘플을 카스퍼스키랩 연구진에 제공했다.

이 악성코드는 ATM 내부에서 실행되는 PC를 감염시키는 것으로 추정됐다. 이후 악성코드 고유정보를 검색해 본 결과 다크넷 중 하나인 알파베이에서 해당 악성코드를 포함한 해킹툴 패키지를 판매하고 있었다는 사실이 확인됐다. 여기에는 악성코드에 대한 설명과 함께 구입방법, 튜토리얼 동영상까지 포함됐던 것으로 드러났다.

현재 알파베이는 미국 FBI에 의해 폐쇄된 상태다.

커틀릿메이커는 올해 3월27일부터 판매됐지만 연구팀은 최초 샘플을 지난해 6월 보안 커뮤니티를 통해 확인했다고 밝혔다.

커틀릿메이커 실행화면. 빨간색으로 표시된 코드에 맞게 비밀번호를 입력해야만 작동한다.(자료=카스퍼스키랩 블로그)

다만 아직까지 해당 악성코드가 실제 공격에 악용됐는지, 배후에 어떤 조직이 있는지는 명확히 확인되지 않았다. 언어, 문법, 문체 실수 등으로 미뤄 영어가 모국어가 아니라는 사실만 밝혀졌다.

카스퍼스키랩코리아 이창훈 지사장은 "커틀릿메이커를 악용하려는 범죄자는 고급 지식이나 전문적인 컴퓨터 기술을 갖출 필요가 거의 없다"며 "정교한 사이버 공격으로 인해 ATM을 해킹하던 방식에 더해 몇 천 달러만 있으면 누구나 돈을 탈취할 수 있게돼 금융기관에 큰 보안위협이 될 수 있다"고 말했다.

이어 이창훈 지사장은 "이 해킹툴이 작동하는 동안 ATM을 운영하는 소프트웨어, 하드웨어에서 보안장애가 거의 발생하지 않는다는 점에서 더 심각하다"고 덧붙였다.

관련기사

카스퍼스키랩은 "이 같은 해킹툴을 악용한 공격에 대응하기 위해 ATM에 대해 외부에서 물리적으로 접근할 수 없게 조치를 취해야한다"고 조언했다.

승인되지 않은 소프트웨어가 ATM에서 실행되지 못하도록 엄격한 거부정책을 적용하고, ATM에 승인되지 않은 기기 연결을 통제할 것, 맞춤형 보안 솔루션을 활용해 ATM을 보호해야한다는 설명이다.