다가오는 블랙햇 USA 2009 컨퍼런스에서 발표하기로 했던 ATM 취약점이 제조사의 압박으로 취소되면서 이슈가 되고 있습니다. 이와 관련해서 이전에 발생했던 ATM 해킹 사례를 소개해드리려고 합니다.

몇 달 전에 러시아와 우크라이나 지역에 설치된 20여대의 윈도우 XP 기반 ATM 기계에서 맬웨어가 발견되었습니다. 이 맬웨어는 델파이로 개발되었고 2007년 7월 이전에 내부 공모자를 통해 심어졌습니다. 이렇게 맬웨어가 설치된 ATM 기계의 카드 리더기에 제어 카드를 집어넣으면 맬웨어 조작 화면이 뜨고 키패드로 조작할 수 있습니다.

맬웨어가 시작되면 타겟 프로세스의 메모리를 직접 조작하여 코드를 주입하고, ATM 트랜잭션을 가로챕니다. 이렇게 트랜잭션 메시지를 모니터링하면서 계좌 번호와 PIN 정보를 수집하여 파일로 쌓아놓고, 공격자가 나중에 영수증 프린터를 통해 정보를 뽑아갈 수 있는 기능을 제공합니다. 물론 ATM 내부에 있는 현금을 모두 인출할 수 있는 기능도 가지고 있습니다. ATM에 현금이 가득 들어있는 경우 60만 불에 이르는 현금을 탈취할 수 있게 됩니다.

Trustwave가 공개한 ATM 맬웨어 분석 보고서에 따르면, 공격자가 맬웨어를 통해 아래의 명령들을 실행할 수 있다고 합니다.

• 로그 복구: 맬웨어가 실행되기 이전의 상태로 로그 파일을 되돌려놓아 흔적을 찾기 어렵게 합니다.
• 제거: 맬웨어가 수집한 정보를 삭제하고 악성 윈도우 서비스와 파일을 삭제해서 흔적을 지웁니다.
• 상태 표시: 그동안 수집한 트랜잭션, 카드, 키 통계와 맬웨어 버전을 표시합니다.
• 로그 삭제: 맬웨어가 수집한 정보를 삭제합니다.
• 리부팅: 맬웨어 권한을 조정하고 강제로 시스템을 리부팅 시킵니다.
• 프린터 테스트: ATM 영수증 프린터로 Hello와 123456789를 출력합니다.
• 수집 정보 출력: ATM 영수증 프린터를 이용하여 DES로 암호화한 수집 데이터를 출력합니다.
• 부가 기능: 암호를 물어보고 아래 기능을 추가로 실행할 수 있게 합니다.
• 공급 관리자 정보: ATM 소프트웨어를 이용하여 현재 수표/현금 보유량에 대한 정보를 가져옵니다.
• 스마트 카드 쓰기: 프린터 대신 스마트 카드에 직접 수집된 정보를 씁니다.

이 사례는 내부 공모자를 통해 맬웨어를 심은 경우이지만, 앞으로 나올 공격 기법은 어떤 것일지 귀추가 주목됩니다.