ATM 불법 금융정보 유출 방지 위한 ‘안티스키밍’ 전략

[시큐리티월드 김태민] 스키밍(Skimming)¹은 카드·계좌번호, 유효기간, 개인식별번호(PIN) 등 신용·현금 인출 카드의 정보를 불법 복제 장비(이하 스키머)를 이용해 취득·복제하는 범죄 행위다. 보이스피싱과 함께 가장 대표적인 금융 관련 범죄다.

ⓒdreamstime

PCI 보안표준 위원회에 따르면, 스키밍으로 인한 연간 세계 피해 규모는 약 20억달러(2조 3,320억원)으로, 미국내 설치된 된 ATM(현금자동입출금기) 1대당 평균 5만달러(5,830만 원)의 손실이 발생한다.

특히 ATM 범죄의 92%가 스키밍과 관련돼 ATM/CD에 대한 효과적인 스키밍 방지 대책 마련이 필요하다². 여기에서는 ATM/CD를 중심으로 스키밍의 원리와 특징에 대해 자세히 살펴보고, 정보보호 통제 이론 관점의 효과적인 예방 및 대응 전략에 대해 알아본다.

스키밍은 스키머를 이용해 카드 표면(뒷면)의 마그네틱 선(Magnetic Strip)에 기록된 카드 데이터를 읽어 메모리에 저장하고, 저장된 데이터를 이용해 복제 카드를 만들어 내는 원리다.

ⓒdreamstime

카드 뒷면의 마그네틱 선은 ISO/IEC 7813에서 정의한 여러 가지 금융정보를 저장하고 있는데, <그림1>과 같이 3가지 트랙으로 구분된다³.

마그네틱 선에는 모든 데이터가 평문으로 저장되므로 스키밍이라는 위협(Threat)에 보안상 취약(Vulnerability)하다.

사실 AVTR 모델 기반의 위험분석 방법론에 따라 마그네틱 선이라는 취약성을 제거하면 스키밍이라는 위협과 이로 인한 위험(Risk)은 효과적으로 감소된다.

이같은 마그네틱 선의 취약성 때문에 현재 국내의 모든 ATM/CD는 ISO/IEC7816 기반의 IC(스마트) 카드를 이용한 거래만 가능하다. 따라서 이론적으로 더는 스키밍 피해가 없어야 한다.

그런데도 스키밍으로 인한 피해는 계속 발생하고 있다. 국내외 결제단말기(POS)의 호환성을 이유로 IC 전용 카드가 아닌 IC/마그네틱 겸용 카드를 사용하고 있기 때문이다. 마그네틱 선의 정보와 함께 카드의 PIN 정보 역시 스키밍에서 빠질 수 없는 공격 대상이다.

지식기반 인증 방법으로 사용되는 PIN 정보는 카드에 직접 저장되는 정보는 아니지만, 일반적으로 스키머와 함께 설치되는 초소형 카메라, 모조 키패드 등을 통하여 탈취 대상이 된다.

스키머의 종류와 특징
스키머는 설치 위치와 목적에 따라 크게 휴대용과 POS 단말용, ATM/CD용으로 구분된다. 휴대용은 손바닥보다 작은 소형 단말기 형태로 이동이 간편하여 장소에 구애 없이 사용할 수 있으며, 대금 결제시 악의적 목적을 가진 직원에 의해 주로 사용된다.

POS 단말용은 POS 내부에 매립 또는 별도의 배선을 통해 스키머가 POS와 연결되는 형태로, 대금 결제 시 카드 정보가 함께 복제된다. ATM/CD용 스키머는 통상 카드 투입구에 직접 부착되는 형태로 제작되는데 카드 소유자의 PIN 정보 탈취를 위한 초소형 카메라와 함께 설치되는 것이 일반적이다.

ATM/CD를 대상으로 하는 스키밍은 카드 소유자의 계좌에 있는 현금 인출을 목적으로 하므로 커다란 금전적 피해를 볼 수 있어 주의해야 한다. 최근 ATM/CD에 설치되는 스키머는 스키밍 된 카드정보의 처리 방식(저장·전송)에 따라 <표1>과 같이 구분할 수 있다.

스키밍 유관 범죄
ATM/CD 스키밍은 그 수법이 날로 교묘해지고 있으며 범죄 영역도 확장되고 있다. ATM/CD 스키밍은 반드시 PIN 정보 획득을 위한 부가적인 장치들이 따라오는데 PIN 정보의 불법 취득 방법은 <표2>와 같이 구분할 수 있다.

최근에는 단순히 카드와 PIN 정보를 취득하는 것을 넘어 사회공학적 기법을 이용한 현금 가두기(Cash Trapping)와 카드 옭아매기(Card Entrapment)와 같은 현금 및 카드를 직접 탈취하는 방법도 등장했다.

ⓒdreamstime

현금 가두기는 ATM/CD의 현금 입·출금구에 정교하게 제작된 덮개를 붙임으로써 정상적인 현금 출금 절차 진행 시 인출된 현금이 덮개에 가리어 보이지 않게 만드는 수법이다.

이때 사용자는 ATM/CD 거래 실패(장애)로 오인해 인출된 현금(덮개에 가려져 보이지 않는)을 그대로 두고 자리를 떠나게 되고, 주변에서 기다리고 있던 범인은 덮개를 제거한 후 인출된 현금을 가져간다.

현금 가두기의 또 다른 방법으로는 현금 집게(Cash Claw 또는 ATM Fork)라는 간단한 도구를 이용해 현금입출금 셔터의 동작을 물리적으로 봉쇄하여 현금을 탈취하기도 한다.

카드 옭아매기는 ATM/CD 카드 투입구에 현금 집게에서 사용한 것과 유사한 일종의 카드용 올가미(덫)를 설치해 카드 투입 시 카드의 반환을 불가능하게 만들어 ATM/CD 장애로 오인한 피해자가 자리를 떠났을 때 카드를 탈취하는 방법이다. 이때 범인은 카드 소지자의 현금 출금 절차를 어깨너머로 지켜보면서 일종의 훔쳐보기 공격(Shoulder Surfing Attack)을 통해 PIN 정보를 획득하게 된다.

ATM/CD 해킹을 통한 스키밍
물리적 공격(방법)을 이용한 스키밍 외에도, ATM/CD 해킹을 통한 논리적 공격(스키밍)도 가능하다. 최초의 ATM/CD 전용 악성코드(ATM Infector)는 2009년 보안업체 트러스트웨이브에서 발견한 ‘스키머(Skimmer, lsass.exe)’라는 악성코드다.

해당 코드에 감염된 기계는 카드 판독기 및 키패드에서 입력되는 데이터를 저장하고 출력할 수 있으며, 심지어는 별도 명령 때문에 ATM/CD에 들어 있는 현금을 전액 찾을 수도 있다⁴. 최근에는 스키머의 업데이트 버전이 발견되어 악성코드에 의한 지속적인 피해가 예상된다⁵.

2014년 카스퍼스키랩에서는 ATM/CD의 취약점 공격(익스플로잇)을 통해 ATM/CD를 악의적으로 제어할 수 있는 악성코드(Tyupkin)를 발견했는데, 스키머와 유사하게 감염후 해커의 명령을 통해 ATM/CD 자체의 키패드와 카드 판독기를 기본 스키머로 쓸 수도 있고 ATM/CD에 들어 있는 현금을 전액을 찾을 수도 있었다⁶.

같은 해 시만텍에서는 휴대폰 SMS를 통한 ATM/CD 제어가 가능한 악성코드 플루토스(Ploutus)를 발견했다⁷.

ATM/CD 해킹의 원인을 분석해 보면, 구형 OS의 사용(윈도XP 취약성), ATM/CD 표준 소프트웨어 규격인 XFS 의 인증 취약성, 그리고 미흡한 물리보안 조치를 꼽을 수 있다.

ATM/CD 스키밍 예방 및 대응 전략
현재 스키밍에 대한 효과적인 예방 및 대응을 위해 금융당국과 ATM/CD 제조사, 보안업체들을 중심으로 다양한 방법이 제안·적용되고 있다.

ATM/CD 제조 단계에서 스키밍을 방지할 수 있는 다양한 물리적·기술적 방어 장치가 마련되고 있다. 보안업체를 중심으로 이미 시중에 설치돼 운영되고 있는 장비에 대한 사후 방지 전략이 전개되고 있다.

대표적으로 상용화 된 스미킹 방지 전략으로 카드 투입구에 스키머 부착을 어렵게 만드는 방지 덮개(캡)와 스키머 감지기(적외선 계열), 카드 투입구 내부에 스키머 방해 전자파(Magnetic Field) 발생기 무선통신형 스키머 대응을 위한 RF신호 감지기 등을 설치하는 것을 꼽을 수 있다.

공통으로 스키머가 감지되었을 경우에는 경보 발생과 함께 카드 판독기 폐쇄 및 거래 즉시 중단 조처를 하고 있다⁸.

관련 기술(특허)로는 카드 판독기 내부 구동축(롤러) 제어를 통한 스키머 판독 방해 기술⁹, ATM/CD 모니터에 임의의 색상 표시 후 사용자에 의한 카드판독기 LED 색상 비교 판단 방법¹⁰, 금속 감지기를 이용한 스키머 자기 헤드 감지 방법¹¹ 등이 있다. 다만 해당 기술에 대한 상용화 여부는 확인되지 않았다.

지금까지 살펴본 스키밍 예방 및 대응 전략은 정보보호 통제 이론 관점에서 <표3>과 같이 정리할 수 있다. 보안 위험도 평가를 통한 DOA(Degree of Assurance : 허용 가능 위험도) 설정에 따라 비용 대비 효과적인 방법을 선택하면 된다.

ATM/CD 스키밍은 다른 스키밍 수법보다 훨씬 빠르고 수월하게 현금 취득이 가능하므로 공격자들이 선호하는 방법이어서 앞으로도 더욱 기발하고 정교한 방식으로 진화할 것으로 예상된다.

따라서, 금융당국은 물론 ATM/CD 제조사, 보안업체 모두 효과적인 예방 및 대응 방안 마련을 위해 지속적인 관심과 노력을 기울여야 한다. 또한 IC 전용카드 기반의 금융거래 체계로 조속한 전환도 필요하다.

[참고문헌]
[1] 한국정보통신기술협회, <정보통신용어사전> http://terms.tta.or.kr/dictionary/dictionaryView.do?word_seq=055905-1
[2] PCI Security Standards Council, “Skimming: A Resource Guide from the PCI Security Standards Council”, 2015.
[3] International Organization for Standardization, “ISO/IEC 7813:2006”, 2006.7.
[4] Trustwave, “Automated Teller Machine (ATM) Malware Analysis Briefing”, 2009.5.28.
[5] Kaspersky Lab, “ATM infector”, https://securelist.com/blog/research/74772/atm-infector/
[6] Kaspersky Lab, “Kaspersky Lab, 해커가 ATM을 손쉽게 조작할 수 있는 이유 발견”, http://news.kaspersky.co.kr/news2016/05n/160503_1.htm, 2016.5.3.
[7] Symantec, “Texting ATMs for Cash Shows Cybercriminals’ Increasing Sophistication”, http://www.symantec.com/connect/blogs/texting-atms-cash-shows-cybercriminals-increasing-sophistication, 2014.3.24.
[8] 국내 ATM 제조사(노틸러스 효성, LG CNS) 인터뷰 및 관련 솔루션 자료
[9] 노틸러스효성 주식회사, “카드리더기 및 카드리더기 제어 방법”, 출원번호 1020100018004, 대한민국특허청, 2010.2.26.
[10] 노틸러스효성 주식회사, “금융 자동화기기에서의 안티 스키밍 시스템 및 그 방법”, 출원번호 1020080033093, 대한민국특허청, 2008.4.10.
[11] 니혼 덴산 산쿄 가부시키가이샤, “카드 리더”, 출원번호 1020127022381, 대한민국특허청, 2012.8.27.

[한국정보시스템감사통제협회]
한국정보시스템감사통제협회는 국제정보시스템감사통제협회(ISACA International)의 49번째 국가 107번째 지부로 1986년 12월 9일에 설립됐다. 미래창조과학부 산하 비영리 사단법인이다. 각계 IT 분야에서 선도적인 역할을 하는 IT 전문가와 CISA, CISM, CGEIT, CRISC, CSX를 회원으로 하고 있다, 지난 30년 동안 국내 IT감사 통제 및 보안에 대한 사회적 인식 제고와 CISA, CISM, CGEIT, CRISC, CSX 저변 확대를 위해 노력해 왔다.

[글 김태민 한국정보시스템감사통제협회 이사(CISA·CSX·CISSP·경비지도사)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)