메일 보내기

솔루션 검색 데모요청 TOP

RSS Feed 받기

로그인 정보로 피드받기
입력한 이메일로 피드받기

보안뉴스

다크넷 시장에서 공개적으로 판매되고 있던 ATM 공격 악성 코드가 카스퍼스키랩 연구진에 의해 발견되었다. 3가지 구성 요소로 이뤄진 이 Cutlet Maker라는 악성 코드를 사용할 경우 ATM 기계에 물리적으로 접근할 수만 있으면 거액을 빼낼 수 있다. 범죄자의 거액 절도를 가능하게 해주는 이 도구는 단계별 사용자 가이드까지 갖추어 단돈 5,000달러에 판매되었다.

다양한 방법을 동원하여 이득을 극대화하려는 범죄자에게 ATM은 언제나 구미가 당기는 공격 대상이다. 절단기를 사용하여 물리적 파괴 방식에 의존하는 부류도 있고, 악성 코드 감염 방식을 택하여 현금 지급기 내부 조작을 시도하는 부류도 있다. ATM 해킹용 악성 도구는 여러 해 동안 알려져 왔지만 최근 발견된 사실에 따르면 악성 코드 개발자가 리소스 투자를 점점 더 늘리면서 컴퓨터 지식에 정통하지 않은 범죄자도 악성 코드 개발자의 악성 코드 ‘제품’을 사용할 수 있도록 고안하고 있다고 한다.

올해 초 카스퍼스키랩 파트너 한 곳에서 지금까지 알려지지 않았던 악성 코드 샘플을 카스퍼스키랩 연구진에 제공했는데, 이는 ATM 내부에서 실행되는 PC를 감염시키는 것으로 추정되었다. 연구진은 이 악성 코드 또는 관련 도구를 지하 세계 포럼에서 구매할 수 있는지에 대해 의문을 품고 확인해보았다. 그리하여 이후 진행된 악성 코드 고유 정보 검색 작업은 성공적이었다. 자주 이용되는 다크넷 지점인 AlphaBay에서 ATM 악성 코드의 일종을 묘사한 광고 내용에 검색 쿼리와 일치하는 부분이 있었고, 앞서 확보한 샘플은 ATM 공격를 위해 개발된 시판 악성 코드 전체 패키지의 일부라는 사실도 밝혀졌다. 악성 코드 판매자의 공개 게시물도 발견되었는데, 악성 코드에 대한 설명과 구입 방법 지침이 포함되어 있을 뿐 아니라 튜토리얼 동영상까지 포함된 상세한 단계별 가이드를 통해 악성 코드 패키지로 공격을 이행하는 방법을 제공하고 있었다.

연구에 따르면 이 악성 코드 툴킷은 3가지 요소로 구성되어 있다.
• Cutlet Maker 소프트웨어: ATM 지급기와 통신하는 주요 모듈 역할을 담당한다.
• c0decalc 프로그램: Cutlet Maker 애플리케이션을 실행하고 무단 사용을 방지하는 암호를 생성하도록 설계된 프로그램이다.
• 촉진 애플리케이션: ATM 현금 지급기의 현재 상태 식별을 통해 범죄자의 시간을 절약해준다. 이 앱을 설치하면 침입자에게 각 지급기의 통화, 금액, 지폐 수에 대한 정확한 정보가 제공되므로, 덮어놓고 아무 기기에서 현금을 인출할 필요 없이 가장 금액이 큰 기기를 선택할 수 있다.

ATM 절도를 위해서는 악성 코드를 USB 포트에 업로드해야 하므로 우선 ATM 내부에 직접 접근할 권한을 확보해야 한다. 물리적 접근이 성공한 후에는 소프트웨어 툴킷이 저장된 USB 기기를 연결한다. 이제 범죄자는 첫 번째 단계로 Cutlet Maker를 설치한다. Cutlet Maker는 보호 장치로 암호가 걸려 있으므로 노트북이나 태블릿 등의 다른 기기에 설치해둔 ‘c0decalc’ 프로그램을 사용한다. 이 프로그램은 Cutlet Maker 개발자가 설치한 ‘저작권’ 보호 기능의 일종으로, 다른 범죄자가 비용을 지불하지 않고 무단으로 이 악성 코드를 사용하지 못하도록 차단한다. 생성된 코드를 Cutler Maker의 인터페이스에 입력하면 현금 인출 프로세스가 시작되는 것이다.

Cutlet Maker는 2017년 3월 27일부터 판매되었지만, 연구팀이 발견한 가장 최초의 샘플은 2016년 6월에 보안 커뮤니티 레이더에 잡힌 샘플이었다. 당시 그 샘플은 우크라이나의 공용 멀티 스캐너 서비스에 제출된 것이었지만 이후 그 밖의 여러 나라에서도 샘플이 제출되었다. 해당 악성 코드가 실제 공격에 사용되었는지는 확실하지 않지만 악성 코드 패키지와 함께 제공된 지침에는 개발자가 악성 코드의 효율성을 입증하는 실제 증거로 제시한 동영상이 포함되어 있었다. 

이 악성 코드의 배후는 알려져 있지 않다. 그러나 툴킷의 잠재적인 판매자와 관련해서는 언어, 문법, 문체의 실수로 보아 영어가 모국어는 아니라는 사실을 알 수 있다. 

카스퍼스키랩코리아의 이창훈 지사장(www.kaspersky.co.kr)은 “Cutlet Maker를 사용하려는 범죄자는 고급 지식이나 전문적인 컴퓨터 기술을 갖출 필요가 거의 없습니다. 덕분에 정교한 사이버 공격 활동으로 ATM을 해킹하던 방식이 또 다른 불법적인 방식으로 바뀌어 악성 코드 구입 비용 몇 천 달러만 있으면 사실상 누구라도 돈을 탈취할 수 있죠. 이는 잠재적으로 금융기관에 위험한 보안 위협이 될 수 있습니다. 그러나 더 중요한 것은 Cutlet Maker는 작동하는 동안 ATM의 소프트웨어 및 하드웨어와 상호 작용하므로 보안 장애가 거의 발생하지 않는다는 사실입니다. ATM 기기의 보안 강화를 위해서는 이 부분이 변화되어야 합니다.” 라고 강조하고 있다.

카스퍼스키랩의 전문가들은 Cutlet Maker와 같은 악성 도구에 힘입은 ATM 공격을 방지하고 ATM에 신뢰할 수 있는 물리적 보안 기능을 제공하기 위해서는 금융기관 보안팀이 다음과 같은 조치를 취해야 한다고 조언한다.
• 승인되지 않은 소프트웨어가 ATM에서 실행되지 못하도록 엄격한 ‘기본 거부’ 정책을 시행한다.
• 매체 제어 메커니즘을 활용하여 ATM에 승인되지 않은 기기의 연결을 통제한다.
• 맞춤형 보안 솔루션을 사용하여 Cutlet Maker와 같은 악성 코드 공격으로부터 ATM을 보호한다.

카스퍼스키랩은 더욱 강력한 ATM 보호를 위해 Kaspersky Embedded Systems Security와 같은 적절한 보안 솔루션의 사용 또한 권장하고 있다.

카스퍼스키랩 제품은 Cutlet Maker 악성 코드의 탐지와 차단에 탁월하다.

Cutlet Maker의 작동 원리에 대한 자세한 내용은 Securelist.com의 최신 블로그 게시물에서 상세히 다루고 있다. 

이에 대한 분석은 ATM 대상의 금융 악성 코드에 대한 카스퍼스키랩의 지속적인 연구를 통해 계속되고 있다. 또한 ATM 공격의 진화 양상에 대해서는 ATM 인증 시스템 대상의 향후 공격 시나리오를 다룬 카스퍼스키랩의 보고서를 통해 자세한 내용을 확인할 수 있다.

카스퍼스키랩 소개
1997년 설립되어 2017년 20주년이 된 글로벌 사이버 보안 전문 회사 카스퍼스키랩은 심층적인 보안 위협 인텔리전스와 보안 전문 지식을 바탕으로 전 세계 각지의 기업, 기간 산업 인프라, 정부 및 개인 소비자에게 혁신적인 보안 솔루션과 서비스를 제공하고 있습니다. 카스퍼스키랩은 세계 최고 수준의 엔드포인트 보호 솔루션부터 다양한 특수 분야 전용 보안 솔루션 및 서비스까지 광범위한 제품 포트폴리오를 갖추고서 갈수록 정교해지는 디지털 위협에 맞서 싸우고 있습니다. 전 세계적으로 카스퍼스키랩의 기술을 통해 보호를 받는 사용자 수는 4억 명 이상이며, 27만 곳의 기업 고객이 카스퍼스키랩의 보안 서비스와 솔루션을 이용하고 있습니다. 
자세한 내용은 www.kaspersky.com을 참조하십시오.

번호 제목 날짜
92 스파이 전쟁: 서로 간 정보 탈취와 복제가 한창인 국가 지원 해킹 조직들

2017.11.07 0

2017.11.07
91 새로운 보안위협 정보 교환 협약으로 더욱 공고해진 인터폴과 카스퍼스키랩의 공조

2017.11.07 0

2017.11.07
90 평균 6.3대의 IT 기기를 보유한 새로운 ‘가정 2.0’ 시대를 위한 보안

2017.11.07 0

2017.11.07
» 초보자도 가능한 ATM 해킹: 아마추어를 대상으로 하는 신종 ATM 해킹 악성 코드 패키지 Cutlet Maker 적발

관리자 2017.11.07 1

2017.11.07
88 싱가포르 정부, 카스퍼스키랩의 새로운 사이버 보안 연구에 투자

2017.11.07 0

2017.11.07
87 당혹스러운 루머의 진상: FAQ file

2017.10.25 0

2017.10.25
86 카스퍼스키 Data Feed Service

2017.06.26 0

2017.06.26
85 2017년 1분기 카스퍼스키랩 DDoS 공격 보고서: 폭풍전야

2017.06.26 0

2017.06.26
84 대규모 랜섬웨어 공격 WannaCry에 대한 카스퍼스키랩 코멘트

2017.05.15 0

2017.05.15
83 WannaCry Ransomware 예방을 위한 Microsoft 보안 패치 원격 설치 가이드 file

2017.05.15 0

2017.05.15
82 13개국 수사 기관이 추가로 참여하며 더욱 확대된 'No More Ransom' 프로젝트

2017.04.14 0

2017.04.14
81 15개의 새로운 복호화 도구와 새로운 파트너로 더욱 강력해진 No More Ransom 프로젝트

2017.04.14 0

2017.04.14
80 Lazarus 추적: 대규모 은행 강도 예방을 위한 악질 해커와의 전쟁

2017.04.14 0

2017.04.14
79 PetrWrap: 해커들이 랜섬웨어 코드를 해커들로부터 훔치다

2017.03.20 0

2017.03.20
78 보안 제품 성능 평가 TOP3 지표에서 1위를 지킨 카스퍼스키랩

2017.03.20 0

2017.03.20
77 카스퍼스키랩, Kaspersky 운영 체제 출시

2017.03.20 0

2017.03.20
76 보안 사각지대 ‘리눅스서버’

2017.02.27 0

2017.02.27
75 금융보안원 글로벌 보안 기업과 사이버위협 정보공유 업무협약 체결

2017.02.27 0

2017.02.27
74 새로운 국면을 맞은 DDoS 공격

2017.02.21 0

2017.02.21
73 2016년에 발견된 암호화 랜섬웨어의 75% 이상은 러시아어 사용 범죄조직에서 배포

2017.02.21 0

2017.02.21