2017년 3월 국내 최초의 ATM 감염사고가 발생했다. 63대 ATM을 감염시키고 2천500여개 카드 정보를 유출시켰을 것으로 추정되고 있다. 부정 인출 금액은 크지 않은 반면, 정보 유출 피해가 심각한 것으로 평가됐다. 악성코드 실행파일명은 VAN_XATM.exe이다.

VAN_XATM.exe은 java.exe와 javaupdate.exe라는 2가지 파일을 생성, 실행한다. java.exe 파일은 시스템정보를 수집해 명령제어서버와 통신하면서 파일을 저장하거나 로컬 파일실행 결과를 보낸다. 윈도 시작프로그램 경로에 hclean.exe 파일을 생성해 시스템에 상주한다. javaupdate.exe 파일은 원래의 악성코드 파일인 VAN_XATM.exe와 같은 이름의 파일을 생성하는데, 결과물 이름만 같고 내용은 다르다.
이번에 국내에서 발견된 ATM 악성코드는 명령제어서버에 접속한다. 공격자가 감염된 ATM을 원격제어하도록 설계됐다는 뜻이다. 공격자가 악성코드를 감염시킨 후 키보드를 직접 연결하거나 카드를 삽입하는 기술을 써왔던 과거 ATM 악성코드와 차이를 보인다. VAN_XATM.exe 악성코드 명령제어서버의 IP주소는 국내 소재인 것으로 파악됐지만 공격 주체의 신원은 확인되지 않았다.

2009년 발견된 스카이머(Skimer)는 2007년부터 활동한 최초 ATM 악성코드다. ATM 악성코드 출현 빈도는 2013년 윈도XP 지원 중단 이후 확 늘었다. 2013년 플로터스(Ploutus), 2014년 타이업킨(Tyupkin)이, 2015년 수세풀(SUCEFUL)과 그린디스펜서(GreenDispencer)가 발견됐다. 2016년 변종 스카이머, 앨리스(Alice), 리퍼(Ripper)가 나왔다. 올해 변종 플로터스와 한국ATM 악성코드가 발생했다.

► 다크넷 시장에서 거래되는 ATM악성코드

카스퍼스키 연구원은 다크넷 시장에서 5000 달러에 거래되는 Cutlet Maker 악성코드를 발견했다고 발표했다.
현재 폐쇄된 다크 웹 알파베이(AlphaBay) 마켓에 올라온 광고를 보면 구체적인 매뉴얼과 함께 필요한 장비의 목록, 겨냥할 ATM 모델, 멀웨어 작동 시 팁 등이 서술돼 있었다고 카스퍼스키는 설명했다.

다크 웹 알파베이(AlphaBay) 마켓에 올라온 광고 <https://securelist.com/atm-malware-is-being-sold-on-darknet-market/81871/>

ATM 악성코드 구매 시 내부에 “Wall ATM Read Me.txt“라는 안내문이 있으며 문법 오류나 속어 사용 등을 볼 때 러시아 해커 소행으로 추정하고 있다.

Cutlet Maker 메뉴얼 <https://securelist.com/atm-malware-is-being-sold-on-darknet-market/81871/>

※ CUTLET MAKER의 “CUTLET”은 본래 “돼지 등 고기로 조리된 요리”이나 러시아 속어로 돈다발의 의미도 갖고 있음

CUTLET MAKER는 “Delphi” 언어로 개발된 프로그램으로 VMProtect로 패킹되어 있으며 ATM기계 조정용 API를 사용하기 때문에 특정 라이브러리에 의존적이다. 즉 타겟팅 된 ATM기기가 존재한다.
CUTLET MAKER 프로그램에서 “CHECK HEAT” 버튼 클릭 시 ATM 기계 종류를 알려주며 “start cooking” 버튼 클릭 시 프로그램 기준 50개의 돈다발을 인출하며 “Stop” 버튼 클릭 시 동작을 멈춘다.

Cutlet Maker GUI <https://securelist.com/atm-malware-is-being-sold-on-darknet-market/81871/>

CUTLET MAKER를 사용하기 위해서는 C0decalc 프로그램을 통해 생성된 세션 키를 입력해야 하는데, 상용목적의 판매 소프트웨어들에서 채택하고 있는 라이센스 가드 방식이다.

C0decalc <https://securelist.com/atm-malware-is-being-sold-on-darknet-market/81871/>

카스퍼스키에 따르면, 구매자들은 ATM 기기가 이 멀웨어에 감염되면 ATM 카드 주인의 개별 계좌나 정보에 접근할 필요도 없이 ATM에 들어있는 현금을 모두 뽑아낼 수 있는데, 이는 Stimulator의 API 기능이 ATM의 카세트 상태를 가져 와 매핑 작업을 거쳐  공격 대상 ATM기의 잔고 상태, 거래 내역 등을 확인한다.

Stimulator<https://securelist.com/atm-malware-is-being-sold-on-darknet-market/81871/>

각 선행 번호는 ATM 카세트에 매핑되며, 세 가지 문자 상태는 다음과 같이 해석된다.

범죄자들은 USB 드라이브를 사용해 ATM 기기에 멀웨어를 설치하는 것으로 보이며, 이 멀웨어가 개발된 시기로는 2016년 6월부터 8월경이 추정되고 있다.

► 태국ATM, 리퍼 악성코드 공격받아 3천개 ATM기 거래 중단

2016년 8월 지역 신문은 사이버범죄자들이 이 악성코드를 사용해 21개의 ATM 기기로부터 1,229만 바트(3억 9,733만 원)를 훔쳤다고 보도했다. 방콕 포스트(Bangkok Post)가 지난 주 보도한 바에 따르면, 이 사건으로 인해 주정부 소유의 정부은행은 한 벤더에 의해 제작된 모든 ATM 기기들을 중단시켰으며 악성코드를 검사하고 있다.

태국ATM기기를 해킹한 Ripper악성코드는 ATM 기기가 해킹 당하는 동안 네트워크 인터페이스를 사용할 수 없도록 한다. 이 악성코드는 7월 10일에 만들어졌으며, 약 한달 전부터 유포된 것으로 추측된다.
리퍼 악성코드가 ATM 기기에 설치되면 공격자들이 특별히 프로그램된 카드를 삽입할 때까지 기다린다. 인증을 위해 사용되는 이 메커니즘은 과거에 다른 ATM 악성코드에 의해 사용된 바 있다. 인증이 되면 이 공격자는 40개 은행권에서 ATM의 현금을 뽑아내도록 명령할 수 있다.

또한 리퍼는 과거 ATM 악성코드 프로그램인 튭킨(Tyupkin) 또는 패드핀(Padpin)을 포함한 수세플(SUCEFUL), 그린디스펜서(GreenDispenser) 등의 기능도 갖고 있다"며, "예를 들어, 이 기능들은 포렌식 증거들을 삭제하는 데 사용될 수 있다"고 설명했다.
ATM 악성코드는 여러 경로를 통해 배포될 수 있는데, 그 가운데 하나는 기술자와 ATM 기기 서비스에 종사하는 내부자들에 의한 것이다. CD-ROM이나 ATM에 있는 USB 포트를 통해서도 침투할 수 있는데, 이는 특별 서비스 키로 ATM 외장을 벗긴 후 사용할 수 있다. 이 키는 온라인에서 구입할 수 있다.

두번째 방법은 외부에서 ATM 기기들을 표적으로 공격하는 것이다. 태국의 경우, 이 방법을 택한 것으로 보인다.
ATM 기기를 해킹해 대량으로 돈을 인출하는 스키밍 범죄는 2010년 블랙햇 컨퍼런스에서 처음 시연된 후 이슈화됐다. 초기 스키밍은 사용자의 마그네틱 카드 정보를 훔쳐 인출하는 방법에서 ATM 시스템을 직접 공격하는 것으로 진화했다.

► 네트워크형 ATM 악성코드의 진화

전통적인 물리적 ATM 해킹 방법

<https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/shift-in-atm-malware-landscape-to-network-based-attacks>

네트워크를 이용한 ATM 해킹 방법

<https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/shift-in-atm-malware-landscape-to-network-based-attacks>