사이버 은행 강도..정보 유출에 판매까지

글자 작게 글자 크게 인쇄하기

금융자동화기기(ATM)가 해킹돼 신용카드 정보가 유출됐다. 사이버 금융 범죄 활동이 심상치 않다. 은행 인프라와 프로세스를 분석해 망이 분리된 시스템까지 침투한다.

공격자는 국내 ATM망 특성을 파악해 사이버 공격을 감행했다. 최근 피싱이나 파밍 등으로 금융 정보를 빼돌려 부정 이체를 시도하지 않고 은행을 직접 공격, 자금을 이체하는 사고를 일으킨다.

이번 공격은 그동안 주로 물리적으로 이뤄지던 공격을 사이버화했다. ATM 기기에 카드복제기를 달던 고전 수법이 아니다. 단말기에 악성코드를 감염시켜 내부에서 신용카드번호, 유효기간, 계좌번호, 이름 등 정보를 탈취했다.

ⓒ게티이미지뱅크
<ⓒ게티이미지뱅크>

ATM은 PC나 다름없다. 윈도 운용체계(OS)가 설치되고 인터넷망에 연결된다. 일부 ATM은 마이크로소프트(MS) 보안 지원이 중단된 윈도XP 등 구버전 OS가 사용된다. 구형 OS는 보안 업데이트가 종료돼 취약점이 나타나면 사이버 공격에 무방비다.

편의점 등에 설치된 ATM은 물리적 보안도 허술하다. ATM을 연결하는 인터넷선이 외부에 노출된 사례도 있다. ATM 역시 PC처럼 프로그램을 정기적으로 업데이트한다. 이때 정상 프로그램 업데이트 파일을 변조하거나 보안 솔루션 취약점, 파일 배포 기능을 악용해 침투할 수 있다.

신용카드 정보는 돈이다. 복제 카드를 만들어 부정 인출을 시도한다. 이번 사고 역시 복제된 카드가 인출에 이용돼 금융권이 조치 중이다.

블랙마켓에서 거래되는 한국 신용카드 정보 (자료:NSHC)
<블랙마켓에서 거래되는 한국 신용카드 정보 (자료:NSHC)>

신용카드 정보는 인터넷 암시장(블랙마켓)에서 거래된다.

NSHC(대표 허영일) 레드얼럿팀이 내놓은 보고서에 따르면 최근 국내 금융기관 신용카드와 개인정보 4000여건이 딥웹(Deep Web)과 러시아 블랙마켓에 매물로 나왔다. 이번 ATM 사고와 연관 가능성을 배제할 수 없다. 관련 정보는 블랙마켓에 가입한 제한된 회원만 열람한다. 일부 데이터를 기반으로 피해자에 문의한 결과 실제 정보로 판명됐다.

신용카드 4000여건 정보는 금융기관 정보, 신용카드 번호, 유효기간, 카드 소유주 이름, 주소, 전화번호, 이메일 등이다. 현재 러시아 블랙마켓에서 거래되는 신용카드 정보가 가장 많은 나라는 한국이다.

블랙마켓에서 거래되는 국가별 신용카드 노출 건수 (자료:NSHC)
<블랙마켓에서 거래되는 국가별 신용카드 노출 건수 (자료:NSHC)>

허영일 대표는 “신용카드 정보를 사고파는 블랙마켓은 월 평균 7, 8회 정도 지속 업데이트된다”면서 “판매된 신용카드 정보가 사용할 수 없으면 환불해 준다”고 설명했다. 허 대표는 “러시아어, 영어, 중국어로 된 콜센터까지 운영하며 고객 서비스를 제공할 정도”라고 덧붙였다.

김인순 보안 전문기자 insoon@etnews.com