[알아봅시다] ATM 악성코드 `플로토스.B`

입력: 2014-10-15 14:17 정용철 기자

폰트

문자 한통으로 ATM 해킹 현금 인출
미리 연결해둔 스마트폰에 SMS 전송 악성코드 실행
ATM 키패드 조작해 명령어 전송 돈 빼내는 방법도
OS 업그레이드·외부장치 통한 부팅방지 조치 필수

갑작스럽게 현금이 필요하거나 통장에 돈을 입금할 때 우리는 은행에 가지 않아도 주변에 깔려 있는 현금자동입출력기(ATM)를 통해 이를 해결할 수 있습니다. 은행의 마감 시간을 걱정할 필요도 없고, 번호표를 뽑고 긴 시간을 기다릴 필요도 없습니다.

그런데 이처럼 우리생활의 간편한 금융 업무를 도맡아 하고 있는 ATM이 보안에 취약하다는 사실이 속속 밝혀지고 있습니다. ATM과 휴대전화를 연결해 카드 없이 현금을 뽑을 수 있는 수법은 물론, 호주의 한 해커팀은 ATM을 해킹해 게임을 구동하는 것을 보이기도 했습니다. 연일 신종 ATM 해킹 수법이 밝혀지고 있는 가운데, 대표적인 ATM 악성코드인 '플로토스.B(Ploutus.B)'에 대해 알아보도록 하겠습니다.

지난 2010년 해킹 콘퍼런스인 'Black Hat USA 2010'에서 ATM 두 대를 이용해 원하는 대로 돈을 인출하는 방법이 공개됐습니다. 당시 이 방법을 공개했던 뉴질랜드의 해커 버나비 잭은 본인의 방식 외에 휴대전화를 연결해 공격을 실행할 수도 있다고 설명했습니다. 이후 지난 2013년 9월 멕시코에서 ATM을 타겟으로 하는 '플로토스' 악성코드가 발견되면서 그의 발언은 현실이 됐습니다. 그리고 올해 초 발견된 더 발전된 형태의 '플로토스.B'는 윈도우 XP의 기술지원 서비스 종료 이슈와 맞물려 단숨에 업계의 화두로 떠올랐습니다.

플로토스.B 악성코드는 원격에서 공격자가 입력한 인자 값과 날짜 값을 이용해 ATM을 동작 가능한 상태로 활성화 시킨 후, 원하는 금액을 입력해 돈을 인출할 수 있게 해줍니다. 이 악성코드는 최초 등장했던 플로토스보다 더 모듈화된 형태를 갖추고 있으며 키패드뿐만 아니라 스마트폰을 이용해서도 명령어를 전송하는 것도 가능했습니다. 스페인어로 돼 있었던 기존의 플로토스와 다르게 영어를 사용한 점은 영어권 국가를 타겟으로 하고 있음을 짐작케 했습니다.

플로토스.B의 경우 두 가지 방법을 이용해 현금을 인출할 수 있습니다. ATM의 키패드를 이용하는 방법과 스마트폰으로 SMS 메시지를 전송해 현금을 인출하게 하는 방법이 그것입니다. ATM 키패드를 이용하는 방법은 16자리 숫자로 이뤄진 명령어를 전송해 해당 명령어가 가지고 있는 기능을 수행하도록 하는 방법입니다.

스마트폰을 이용하는 방법의 경우 ATM 내부에 미리 연결해 둔 스마트폰에 다른 스마트폰으로 SMS를 전송합니다. 이 때 SMS 메시지의 내용은 악성코드를 실행시키는 명령어와 돈을 인출하기 위한 명령어로 구성됩니다. ATM 내부에 설치된 스마트 폰에 SMS가 수신되면 해당 내용을 ATM에 전달하게 되고, 이 때 디스패처 모듈에 의해 실행 가능한 명령어로 재조합되는 것입니다. 뒤이어 Ploutos.exe를 실행시켜 실제 돈을 인출합니다.

분석 당시 디스패처 모듈의 부재, 악성코드의 정상적인 동작 불가로 인해 실제 공격과정을 눈으로 직접 확인할 수 는 없었습니다. 그러나 원격지에서 메시지를 전송해 현금을 인출할 수 있다는 사실은 충분히 충격적이어서 보안관련 업계 종사자들에게 주변의 모든 IT 기기들이 해킹 당할 수 있다는 사실을 인지시켜 주기도 했습니다.
ATM의 경우 대부분 윈도우 운영체제 위에 관련 소프트웨어를 설치해 동작하는 구조를 가지고 있습니다. 이것은 ATM 역시 일반 PC와 그 구조가 크게 다르지 않음을 의미합니다. 굳이 PC와의 차이를 꼽는다면 폐쇄된 망 내에 존재하고 특수한 목적으로 사용된다는 점 정도가 될 것입니다. 그러나 윈도우 XP에 대해 마이크로소프트가 서비스 종료를 선언하고, 은행의 거래와 관련된 특수한 목적으로 사용되고 있는 만큼 일반 PC 보다는 좀 더 능동적이고 적극적인 대응이 필요하다는 게 전문가들의 의견입니다.

이를 위해서 무엇보다 운영체제의 업데이트가 가장 시급한 상황입니다. 빠른 시일 안에 윈도우 7이나 8로 업그레이드를 진행할 필요가 있습니다. 또 플로토스 악성코드가 USB나 CD-ROM 같은 물리적 장치를 이용해 설치되므로 인가되지 않은 사용자에 의해 물리 저장장치를 이용한 부팅이 불가능하도록 조치하는 방안도 중요합니다. 혹시라도 사고가 발생했을 때를 대비해 ATM 사용자를 모니터링 가능하도록 CCTV를 설치해 두는 것 역시 이제 필수 사항이라고 할 수 있습니다. 다만 CCTV는 사용자가 누구인지 감시하는 목적으로 사용되도록 설치할 필요가 있습니다. 우리나라의 경우 거의 모든 ATM에 CCTV가 설치되어 있지만 아이러니 하게도 사용자는 잘 보이지 않고 사용자가 입력하는 비밀번호나 ATM의 화면이 잘 보이도록 돼 있는 경우가 많습니다. 이 경우 해커가 CCTV를 해킹해 은행 거래 관련 정보를 수집하는 것과 같은 또 다른 침해사고를 유발할 수 있습니다.

과거에는 침해사고의 범위가 PC에 한정되어 있었습니다. 그러나 시간이 지나고 IT기술이 발전을 거듭할수록 침해사고의 범위는 무의미해 지고 있습니다. 주변 IT기기들이 언제라도 해킹이 가능하다는 보안의식과 함께 사고가 발생한다면 어떻게 대응할 것인가에 대한 고민이 필요하다고 전문가들은 강조합니다.

정용철기자 jungyc@dt.co.kr

도움말=한국인터넷진흥원

서울특별시 중구 새문안로22
☎ 02) 3701-5500
등록번호 : 서울 아01699
등록일자 : 2011.07.15
발행일 : 2000.03.03
발행인/편집인 : 박학용

[알아봅시다] ATM 악성코드 `플로토스.B`

이 시간 핫클릭

핫 이슈!