FBI 경고…”해킹으로 ATM 현금 빼돌리는 공격 급증, 2천만 달러 탈취”

무슨 일이었나

미국 연방수사국(FBI)이 작년에 ATM ‘잭팟팅’ 공격이 급증하면서 미국인들의 피해액이 2천만 달러를 넘어섰다고 경고했습니다. 해커들은 멀웨어를 이용해 ATM 현금인출기를 조작해 마음대로 현금을 빼돌리는데, 이러한 사건이 불과 수 분 만에 발생한다고 합니다.

FBI는 작년에 공개한 경고문에서 700건 이상의 ATM 잭팟팅 사고가 보고되었다고 밝혔습니다. 이는 2020년 이후 미국에서 보고된 총 약 1,900건의 사고와 비교해도 엄청난 증가세입니다.

잭팟팅 공격이란 해커들이 ATM 내부 소프트웨어를 해킹해 기계를 강제로 현금을 배출하게 만드는 범죄입니다. 가장 많이 사용되는 멀웨어는 ‘Ploutus’로, 현금인출기가 은행의 승인을 우회하도록 만들어줍니다.

“Ploutus 멀웨어는 ATM의 물리적 작업을 지시하는 소프트웨어 층인 XFS를 악용합니다. 위협 행위자가 직접 XFS에 명령을 내리면 은행 승인 없이 ATM에 현금을 배출시킬 수 있습니다.” — FBI

FBI에 따르면, 정상적인 거래에서는 ATM이 은행의 승인을 거쳐 현금을 지급합니다. 하지만 Ploutus는 이 과정을 완전히 우회해 카드도 계좌도 없이 현금을 빼돌릴 수 있습니다.

어떻게 작동하나

해커들은 먼저 ATM에 물리적으로 접근해야 합니다. 이를 위해 시중에서 쉽게 구할 수 있는 범용 키를 사용합니다. ATM 내부에 들어가면 하드디스크를 분리하고 멀웨어를 복사한 뒤 다시 설치하거나, 아예 멀웨어가 사전载入된 다른 하드디스크로 교체합니다.

한 번 설치되면 수 분 내에 대규모 현금 탈취가 가능합니다. 금융기관과 ATM 운영자들은 현금이 사라진 후에야 사건을 알게 되는 경우가 대부분입니다.

대테러 전술

FBI는 금융기관들에게 몇 가지 방어 조치를 권고했습니다. 먼저 ATM 시스템에서 미승인된 이동식 저장장치 사용 여부를 감사해야 합니다. 또한 ‘골드 이미지 무결성 검증’을 결합하면 물리적 침입과 멀웨어 설치 시도를 조기에 탐지할 수 있습니다.

이러한 방법은 네트워크 기반 모니터링만으로는 탐지하기 어려운 공격을 파악하는 데 도움이 된다고 FBI는 설명했습니다.

진압 움직임

이번 경고는 Tren de Aragua(TdA) 갱단 소속 인물들에 대한 대규모 체포 이후 나왔습니다. 이 갱단은 Ploutus 멀웨어를 사용해 미국 전역의 은행 ATM에서 수백만 달러를 털었습니다.

지난 6개월 동안 미국 법무부는 총 87명의 TdA 구성원을 기소했으며, 이들은 각각 최대 20년에서 335년까지의 징역형을 면할 전망이다.

우리에게 안전한가

한국의 ATM도 완전히 안전하다고 볼 수는 없습니다. 국내 금융기관들은 지속적인 보안 업데이트와 물리적 보안 강화 조치를 시행하고 있지만, 사용자들은 ATM 사용 시 이상 현상을 발견하면 즉시 은행에 신고해야 합니다.

특히 야간이나 사람이 적은 시간대의 ATM 사용을 자제하고, 가능하다면 은행 지점 내 ATM을 이용하는 것이 좋습니다. 또한 ATM 화면이 이상하게 동작하거나 멈춘 듯한 경우에는 그대로 자리를 뜨고 은행에 통보하세요.

앞으로 전망

전문가들은 ATM 잭팟팅 공격이 계속 증가할 것으로 전망합니다. 특히 오래된 ATM 시스템은 보안 업데이트가 제대로 이루어지지 않아 표적이 될 위험이 높습니다.