세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
일단 돈부터 탈탈 털고 보는 ATM 멀웨어, 앨리스
  |  입력 : 2016-12-22 11:06
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
아무런 기능 없고, 오로지 인출기서 돈 죄다 터는 기능만
자체 PIN 시스템도 있어 인증된 자만 앨리스 사용 가능


[보안뉴스 문가용 기자] ATM을 공략하는 새로운 멀웨어가 발견되었다. 앨리스(Alice)라는 이름으로 불리는 이 멀웨어의 기능은 ATM 기기 안에 남아있는 현금을 모조리 빼내는 것이라고 한다. 앨리스를 분석한 트렌드 마이크로(Trend Micro)는 “정보를 훔치거나 해커에게 ATM 통제권을 넘겨주는 기능조차 없고, 그냥 금고를 싹 비우는 것만 한다”고 설명했다.


앨리스가 최초로 발견된 건 2016년 11월이었으나, 활동은 2014년부터 시작한 것으로 보인다. 이 멀웨어를 활용하려면 해커가 반드시 ATM에 물리적으로 접근해야 한다. 트렌드 마이크로는 “자금운반책들이 빠른 시간 안에 돈을 빼내기 위해 사용하는 멀웨어로 보인다”고 분석했다. 작년에 그린디스펜서(GreenDispenser)라는 멀웨어와 기능 면에선 비슷하다고도 말했다.

앨리스는 VMProtect라는 일반 보안제품으로 패킹되어 있었고, 금고 비우는 기능을 본격적으로 실행하기 전에 시스템을 먼저 점검하여 ATM이 아닐 경우 기능을 시작하지 않거나 시작된 기능을 중단한다. 앨리스는 이를 위해 특정 DLL 파일들과 레지스트리를 먼저 검사한다고 한다.

실행 시 앨리스는 루트 디렉토리에 xfs_supp.sys라는 파일과 TRCERR.LOG 파일을 생성한다. 전자는 5MB 용량 파일인 것처럼 보이지만 빈 파일이고, 후자는 오류 로그파일이다. 그렇게 하고 나서 앨리스는 CurrencyDispenser1이라는 현금 배출기기에 접속해 현금이 실제 어디에 얼마나 담겨 있는지를 파악한다.

앨리스는 오로지 CurrencyDispenser1에만 접속하지 PIN 입력 패드를 통제하려거나 하지 않는다고 한다. 결국 “공격자가 물리적으로 접근해 ATM 기기를 열고 USB나 CD-ROM을 통하여 멀웨어를 로딩시켜 현금을 탈취해냈을 것”이라고 트렌드 마이크로는 추측한다. “아마 키보드도 동원했을 것으로 보입니다. 멀웨어를 심은 후 키보드를 기기에 연결시켜서 조작한 것이죠.”

앨리스는 세 가지 명령을 받고 실행할 수 있다고 한다. 1) 언인스톨을 위한 파일 드롭하기, 2) 프로그램 종료하고 언인스톨 및 삭제 3) 운영자용 제어판 열기가 바로 그것이다. 이 제어판에 기계 내 현금 보유 현황 및 정보들이 출력된다. 즉, 물리적으로 접근해 멀웨어 삽입에 성공한 공격자들이 이 정보를 보고 추가 범행을 저지를 수 있었던 것이다.

“ATM에서 한 번에 뺄 수 있는 금액은 정해져 있습니다. 그러므로 앨리스를 사용하는 공격자들은 한 기기에 접근해 여러 번 사기 인출 행각을 벌였을 겁니다. 그러니 ATM 내부 정보가 제어판 등을 통해 제공되는 게 큰 도움이 되었겠죠. 계속 그 ATM에서 돈을 뽑을 건지, 다음 ATM으로 옮겨갈 것인지 판단할 수 있게 해주니까요.”

앨리스는 주로 taskmgr.exe 파일로 설치된다고 한다. 즉 윈도우 작업 관리자(Windows Task Manager) 기능과 엮여 있다는 것이다. 트렌드 마이크로는 “앨리스에는 지속적인 공격을 하는 기능이 없다”며 “그래서 피해 시스템에서 작업 관리자 기능이 실행될 때마다 앨리스가 실행되도록 이름을 taskmgr.exe로 한 것으로 보인다”고 분석했다.

또, 앨리스를 사용하려면 해커가 PIN을 입력해야 한다. 즉, 앨리스가 심겨진 ATM에 다른 해커가 접근 성공해도 앨리스를 사용하기 힘들다는 뜻이다. PIN은 네 자리 숫자인 것이 보통이지만 더 긴 숫자를 요하는 앨리스 변종도 있다고 트렌드 마이크로는 설명했다.

멀웨어를 통한 ATM 공격의 위험성은 이미 9년 전부터 존재한 범죄 시나리오지만, 앨리스는 겨우 여덟 번째로 발견된 ATM 전용 멀웨어다. 즉 멀웨어 시장에서 ATM은 틈새시장 혹은 비주류로 여겨졌다는 것이다. 하지만 트렌드 마이크로는 “ATM을 노리는 멀웨어가 주류로 편입되는 움직임이 보이고 있다”는 의견이다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

#ATM   #앨리스   #이상한   #금고털이   #탈탈   #비워   #empty   


비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
애플이 아이폰X에 얼굴인식 방식인 페이스ID를 새롭게 도입한다고 해서 관심이 모아지고 있습니다. 이를 계기로 스마트폰에 탑재되는 생체인식기술 간 보안성 및 편리성 대결도 벌어지고 있는데요. 이를 모두 고려할 때 스마트폰에 탑재되는데 있어 가장 효과적인 생체인식기술은 무엇이라고 보시나요?
지문인식
홍채인식
얼굴인식
화자인식(목소리로 누구인지 식별)
다중인식(지문+홍채, 지문+얼굴 등)
기타(댓글로)