공격자는 국내 ATM망 특성을 파악해 사이버 공격을 감행했다. 최근 피싱이나 파밍 등으로 금융 정보를 빼돌려 부정 이체를 시도하지 않고 은행을 직접 공격, 자금을 이체하는 사고를 일으킨다.
이번 공격은 그동안 주로 물리적으로 이뤄지던 공격을 사이버화했다. ATM 기기에 카드복제기를 달던 고전 수법이 아니다. 단말기에 악성코드를 감염시켜 내부에서 신용카드번호, 유효기간, 계좌번호, 이름 등 정보를 탈취했다.
 |
ⓒ게티이미지뱅크 |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
ATM은 PC나 다름없다. 윈도 운용체계(OS)가 설치되고 인터넷망에 연결된다. 일부 ATM은 마이크로소프트(MS) 보안 지원이 중단된 윈도XP 등 구버전 OS가 사용된다. 구형 OS는 보안 업데이트가 종료돼 취약점이 나타나면 사이버 공격에 무방비다.
편의점 등에 설치된 ATM은 물리적 보안도 허술하다. ATM을 연결하는 인터넷선이 외부에 노출된 사례도 있다. ATM 역시 PC처럼 프로그램을 정기적으로 업데이트한다. 이때 정상 프로그램 업데이트 파일을 변조하거나 보안 솔루션 취약점, 파일 배포 기능을 악용해 침투할 수 있다.
신용카드 정보는 돈이다. 복제 카드를 만들어 부정 인출을 시도한다. 이번 사고 역시 복제된 카드가 인출에 이용돼 금융권이 조치 중이다.
 |
블랙마켓에서 거래되는 한국 신용카드 정보 (자료:NSHC) |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
신용카드 정보는 인터넷 암시장(블랙마켓)에서 거래된다.
NSHC(대표 허영일) 레드얼럿팀이 내놓은 보고서에 따르면 최근 국내 금융기관 신용카드와 개인정보 4000여건이 딥웹(Deep Web)과 러시아 블랙마켓에 매물로 나왔다. 이번 ATM 사고와 연관 가능성을 배제할 수 없다. 관련 정보는 블랙마켓에 가입한 제한된 회원만 열람한다. 일부 데이터를 기반으로 피해자에 문의한 결과 실제 정보로 판명됐다.
신용카드 4000여건 정보는 금융기관 정보, 신용카드 번호, 유효기간, 카드 소유주 이름, 주소, 전화번호, 이메일 등이다. 현재 러시아 블랙마켓에서 거래되는 신용카드 정보가 가장 많은 나라는 한국이다.
 |
블랙마켓에서 거래되는 국가별 신용카드 노출 건수 (자료:NSHC) |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
허영일 대표는 “신용카드 정보를 사고파는 블랙마켓은 월 평균 7, 8회 정도 지속 업데이트된다”면서 “판매된 신용카드 정보가 사용할 수 없으면 환불해 준다”고 설명했다. 허 대표는 “러시아어, 영어, 중국어로 된 콜센터까지 운영하며 고객 서비스를 제공할 정도”라고 덧붙였다.
김인순 보안 전문기자 insoon@etnews.com
[Copyright © 전자신문. 무단전재-재배포금지]
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
