매년 라스베이거스에서 열리는 데프콘 보안 콘퍼런스(Defcon security conference) 현장에서는 ATM 해킹이라는 대규모 전통이 있다. 콘퍼런스에 참여한 보안 전문가와 해커는 안전 해제 기법으로 ATM 보안을 우회하여 기기를 조작하면서 사용자 개인 데이터와 PIN 번호 등을 탈취하는 과정을 보여준다. ATM 멀웨어 개발과 수정 작업, ATM 해킹을 통한 현금 대규모 인출 방법도 보여준다. 데프콘 보안 콘퍼런스에서 진행되는 프로젝트 대부분 소매 업체용 ATM, 주유소나 술집에서 볼 법한 인출 기기 등을 표적으로 삼는다. 그러나 2024년도 데프콘 보안 콘퍼런스에 참석한 개인 연구원인 매트 버치(Matt Burch)가 은행과 여러 대형 기관에서 사용하는 금융 기관용 혹은 기업용 ATM과 관련한 보안 취약점을 발표했다.
버치 연구원은 ATM 제조사 디볼드 닉스도르프(Diebold Nixdorf)가 널리 배포한 보안 솔루션인 바이내믹스 시큐리티 수트(VSS)에서 발견한 6가지 취약점을 공개했다. 디볼드 닉스도르프가 모두 패치 작업을 완료했다고 발표한 6가지 취약점 모두 악의적인 해커 세력이 우회하여 패치 작업이 되지 않은 ATM 하드 드라이브 암호화에 접근하고는 기계 전체를 통제할 권한을 손에 넣는 데 악용될 위험성이 있었다. 버치 연구원은 버그 수정 사항을 적용할 수 있으나 실질적으로 패치가 널리 배포되지 않은 탓에 일부 ATM과 현금 인출 시스템의 취약점이 노출된 채로 방치될 가능성을 경고했다.
버치 연구원은 와이어드와의 인터뷰에서 “VSS는 엔드포인트 보호, USB 필터링, 접근 권한 위임 등 수많은 역할을 한다. 이번 프로젝트에서 연구 목적으로 직접 악용한 공격 지점은 하드드라이브 암호화 모듈이다. 디볼드 닉스도르프의 VSS에서 6가지 취약점을 발견했다. 디볼드 닉스도르프는 내가 직접 보안 공격 과정에서 악용할 경로와 파일을 확인한 바를 보고했기 때문에 취약점에 대응하기 위한 패치 배포에 나섰다. 이후 똑같이 공격할 수 있는 다른 방법을 찾았다. 비교적 간단한 공격으로 ATM을 해킹할 수 있다”라고 말했다.
버치 연구원은 6가지 취약점 모두 VSS의 ATM 하드드라이브용 디스크 암호화 실행 기능에서 발견했다. 버치 연구원은 ATM 제조사 대부분 디스크 암호화를 위해 마이크로소프트의 비트라커 윈도(BitLlocker Windows) 암호화에 의존하지만, 디볼드 닉스도르프의 VSS는 외부 기관의 통합 기술을 적용하여 무결성 확인 과정을 실행한다고 설명했다. 디볼드 닉스도르프의 시스템은 리눅스 배포판과 윈도 배포판에 모두 적용되는 듀얼 부트 구성으로 설정되었다. 운영체제 실행 전, 리눅스 배포판은 서명 무결성 확인을 실행하여 ATM 보안 침해가 없다는 점을 확인한 뒤 운영체제에서 정상적으로 실행된다.
[사진=Pixabay]
버치 연구원은 “무결성 확인 과정을 모두 마치고 운영체제를 실행할 때까지 취약점을 악용할 기회가 열리는 암호화 해제 시스템이 존재한다는 문제점이 있다. 연구 과정에서 직접 악용한 결함의 핵심은 리눅스 배포판에 암호화가 적용되지 않았다는 사실이었다”라고 밝혔다.
버치 연구원은 주요 시스템 인증 파일 위치를 조작하여 코드 실행 경로를 재지정할 수 있었다. 다시 말해 버치 연구원이 직접 ATM을 통제할 수 있었다는 의미이다.
디볼드 닉스도르프 대변인 마이클 제이콥센(Michael Jacobsen)은 와이어드의 문의에 버치 연구원이 2022년에 취약점을 처음 발견했으며, 이후 데프콘 콘퍼런스 발표를 앞두고 버치 연구원의 연락을 받았다고 답변했다. 버치 연구원이 발표한 취약점 모두 2022년 당시 모든 취약점을 패치로 다룬 사항이다. 다만, 버치 연구원은 지난 2년간 새로운 취약점 버전과 관련하여 디볼드 닉스도르프에 연락했으며, 2023년에도 발견된 새로운 시스템 버전의 취약점 패치 작업으로 다루었다는 사실에 주목했다. 이어, 디블로 닉스도르프가 2024년 4월, 리눅스 배포판 암호화와 함께 VSS 4.4 버전으로 더 기본적인 취약점을 다루었다고 믿는다는 점도 추가로 전했다.
버치 연구원은 지금도 패치 배포 사항에서 비슷한 취약점 악용 사항을 발견할 수 있다고 지적했다. 그러나 지금 발견할 수 있는 취약점이 기존 취약점보다 악용하기 훨씬 더 어렵다고 덧붙였다. 더 중요한 사실은 대형 기관의 중요한 인프라 계획에 개입하여 기업용 ATM을 실제로 업데이트할 수 있다는 점과 지금도 구형 VSS를 실행하는 ATM과 현금 인출 서비스를 악용할 수 있다는 점이다.
제이콥센 대변인은 “현재 디볼드 닉스도르프는 고객이 보안 업데이트 후 주어진 환경에서 사용할 수 있는 가장 최근 배포된 버전을 실행하도록 확인하기 위한 작업을 진행 중이다”라고 전했다. 또, 고객사에 마이크로소프트 비트라커 등 다른 디스크 암호화를 실행할 수 있다는 가정을 하지 않는 것도 중요하다고 추가로 안내했다. 제이콥센 대변인은 “버치 연구원의 기업용 디스크 암호화 제품 전환 권고 사항 중 하나는 환경의 취약점이다. 특히, 비트라커에 해당하는 부분이다. 비트라커 암호화가 적용된 기계는 보안 공격이 발생할 수 있으며, 마이크로소프트가 보안 취약점을 직접 해결하지는 않는다. ATM 사용 사례는 마이크로소프트의 지원 범위에 해당하지 않기 때문이다”라고 설명했다.
여러 제조사의 기업용 ATM에서 현금을 탈취할 의도와 함께 멀웨어 악용 대상이 된 ATM 기계에서 지금도 발생하는 공격을 언급할 수도 있다. 대다수 공격이 ATM에 물리적으로 접근해야 하는 데다가 원격 공격은 불가능하다는 조건이 있지만, ATM 취약점을 악용할 수 있다는 매우 실질적인 우려를 나타낸다.
버치 연구원은 “ATM을 공격하려면, ATM에서 하드 드라이브를 인출한 뒤 하드드라이브 패치를 적용할 수 있는 가장 높은 권한 지점에 물리적 접근이 가능해야 한다. 사전 대비가 되지 않은 상태라면, 실행하기 쉽지 않을 것이다. 그러나 공격 시 악용하고자 하는 취약점을 들여다보기는 쉽다. 10분 이내로 비슷한 공격을 개시할 수 있다. 조직범죄에서는 조직원을 대상으로 공격 개시 방법을 훈련할 것으로 예상할 수 있다”라고 설명했다.
공격자가 취약점을 발견하고는 ATM 현금 인출 공격으로 부당 이익을 취한다면, 데프콘 보안 콘퍼런스에서는 ATM 해킹의 새로운 취약점 발견을 위한 논의가 이어질 것이다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Pixabay]](/news/photo/202408/5752_7402_1742.jpg)
뉴스레터 신청