대만 제일은행 ATM 해킹 사건 분석보고서

대만 제일은행 ATM 해킹 사건 분석보고서

台湾第一银行ATM机“自动吐钱”事件分析

2016년 7월, 대만에서 제일은행 20여개 지점의 ATM기기 41대가 공격을 받았습니다. 이로 인해 대만 달러 8,327여만원이 탈취되는 등 피해가 발생했습니다. 

현재 해당 사건은 이미 해결된 상태입니다. 범인으로 추정되는 사람들이 검거됐으며, 피해 금액은 대부분 환수되었습니다. 이번에 360에서는 해당 ATM 해킹 사건에 대한 분석을 진행했으며, 전체 해킹 과정을 재구성하여 해킹 수법과 과정을 분석하고 보안방안을 모색했습니다.

사건 과정

대만 제일은행(First Bank)는 중국 대만 지역 제 1 대형 은행으로, 올해 6월 초부터 카드없이 돈을 인출할 수 있는 서비스를 시작했습니다.

2016년 7월 11일:

수상한 사람이 ATM 기기를 조작하는 등 그 행위가 의심스러워 확인한 결과, ATM에서 원인모를 돈이 인출되었다는 시민의 제보가 대만 경찰서로 접수되었습니다.

2016년 7월 12일:

제일은행은 "제일은행 ATM 기기에서 발생한 도난 사건은 고객의 권익에 영향을 미치지 않습니다"라는 공지를 통해 해당 사건과 관련된 내용을 공개했습니다.

“제일은행의 몇몇 ATM에서 비정상적인 인출이 발견되었으며, 그 과정은 약 5~10분에 걸쳐 주로 7월 9일. 7월 10일에 집중되었습니다. 현재 해당 사건의 총 피해액은 7,000여달러(대만 달러)이며, 20개의 지점의 34대 ATM기기에서 이상이 발생했습니다. 현재 해당 사건에 대하여 경찰에 신고한 상태입니다. 초기 조사결과 돈을 인출하는 모듈에 악성 드라이버가 설치된 것으로 추측되며, ATM 기기는 모두 Wincor의 Pro cash 150 모델로 확인되었습니다. 현재 해당 모델의 기기들은 모두 서비스를 중단한 상태입니다”  

Wincor의 제품은 금융업, 소매업에 배포되어 있는 것으로 밝혀졌습니다. 은행은 자동현금인출기 기기와 비현금류 자동서비스 기기(예를들어 ATM기기, 통장 프린터, 멀티서비스 기기) 등을 보유하고 있으며, 이는 130여개의 국가와 지역에서 사용되고 있습니다. 이번 사건에서 공격을 받은 ATM 기기는 구형 모델로, ebay에서는 1,475달러면 구매가 가능한 것으로 확인되었습니다.

이후 발표된 추가 조사 결과에 따르면, 대만에서 총 41대 ATM 기기를 통한 도난 사건이 발생했습니다. 총 피해금액은 8,327여만 달러(대만달러)에 달했습니다. 이 사건은 대만에서 최초로 발생한 외국 사이버범죄자의 은행 타겟 공격 사건이 되었습니다.

2016년 7월 17일:

대만 경찰은 CCTV 영상 등을 확인한 결과, 16명의 용의자와 1명의 관련자가 모두 외국인이라는 것을 특정해냈으며, 그 중 13명은 이미 대만을 떠난 것으로 확인했습니다. 17일, 대만의 도시 중 하나인 이란에서 범인 중의 한 명인 라트비아인을 체포하였으며, 그날 밤 타이베이에서 루마니아 국적과 몰도바 국적의 범인을 검거했습니다. 이후 피해 금액 중 6,050만 달러(대만)를 회수해냈습니다. 

조사결과, 공범자들은 7월 6일, 관광 명의로 터키와 중국의 홍콩 등지에서 대만으로 넘어왔습니다. 이후 9일에서 11일, 각각 타이베이시, 신베이시, 타이중시 등 지역에서 1인~3인 1조로 구성하여 제일은행 ATM 기기에 악성코드를 감염시켰습니다. 그 후 원격 프로그램을 통해 ATM 기기에 접속하여 ATM에서 자동으로 현금을 인출했습니다. 그외 나머지 동료들은 인출한 돈을 챙기거나 망을 보는 역할을 한 것으로 밝혀졌습니다. 

범죄 직후 13명의 공범들은 신속히 대만을 떠났습니다. 다행히 회수해낸 6,050만달러는 타이베이 기차역 물품보관소에 보관되어 있었으며, 용의자들은 dead drop 방식을 이용하여 일부 현금을 '여행가방에 넣는' 방식을 이용하여 보관했습니다.

17일 저녁, 대만경찰 당국은 피해를 입은 ATM 기기는 100여개가 넘는 은행에서 사용하고 있으며, 최소 30여개의 국가와 지역이 피해를 입은 것으로 추정했습니다. 그 피해 규모는 3억 달러일 것으로 예상되고 있습니다.

2016년 7월 18일:

대만 연합신문은 조사당국이 보안인력을 파견하여 조사한 결과, 사건에 악용된 악성코드가 제일은행 영국 런던지사에서 대만 본사로 침투한 것으로 보고 있다고 밝혔습니다. 경찰은 제일은행 런던지사 정보관리 부서와 대만 제일은행의 정보보호 책임자 및 ATM 업체 대표 3명과 함께 내부에 조력자가 있었는지 여부를 확인하기 위한 회동을 진행했습니다. 

저녁 10시경 열린 기자 간담회에서는 신베이시 조사당국의 조사 결과, 제일은행 ATM 기기의 프로그램 업데이트는 내부에서 호스트들에게 내려주는 형식으로, 서버에서 자동으로 각 ATM 기기에 업데이트 명령을 하달하는 방식으로 진행되는 것으로 밝혀졌습니다. 

7월 4일, 공격자는 업데이트 파일을 가장할 파일들을 제일은행의 각 ATM 기기에 내려보냈으며, ATM 기기의 Telnet Service를 활성화시켰습니다. 그후 7월 9일, 공격자는 원격 접속을 통해 ATM 기기에 악성 프로그램을 업로드 하였으며, 돈이 인출되는지 테스트를 시도한 것으로 밝혀졌습니다. 인출 테스트가 성공한 후, 해외에 있는 공격자는 원격에서 대규모 인출명령을 시도했습니다. 그리고 자기 위치에서 대기하고 있던 조력자들이 인출된 돈을 탈취한 것입니다. 현금을 모두 탈취한 후, 공격자는 다시 백도어, 로그, 실행 문서들을 모두 삭제했습니다. 

제일은행 ATM에서 현금 인출 명령을 받는 악성코드는 제일은행 런던지사의 PC 및 전화녹음을 진행하는 2개의 하드웨어에서 감염되었으며, 그 중 1개는 이미 정상적으로 작동하지 않는 것으로 밝혀졌습니다. 

처음에는 공격자가 녹음기 하드웨어를 우선 감염시킨 후, PC의 루트권한을 획득했습니다. 그후 ATM에 악성코드를 탑재하고, 조력자들을 대만으로 보내 현금을 챙기게 한 것으로 추정하고 있습니다. 하지만 조사원들은 이 범죄집단이 런던뿐만 아니라 다른곳에도 공범이 있을 것이라는 의혹을 제기하였고, 제일은행 내부에 조력자가 있을 가능성 역시 배제하지 않았습니다.

 

2016년 7월 20일, 대만 경찰청은 내호산구(지역이름)에서 피해금액 1,263만 달러를 회수했습니다. 조력자 중 한명인 것으로 밝혀진 앤드류는 14일 저녁, 공격자가 알려준 장소인 서호공원에 도착했습니다. 그러나 하루를 기다려도 아무도 돈을 찾으러 오지 않아, 돈을 쓰레기 더미 속에 숨겨놓았습니다. 경찰은 앤드류의 행적을 뒤쫒아 피해 현금을 회수했습니다. 

해당 피해금액은 어느 노인이 새벽, 서호공원근처 주차장에서 약 454만 달러가 담긴 컴퓨터 가방을 발견해 경찰에 신고하여 회수된 것으로 알려졌습니다. 그러나 21일까지 생활비로 쓴 돈 이외의 약 586만달러는 회수되지 못했습니다.

사건 분석

7월 12일 밤, 신베이시 조사당국은 이번 제일은행 공격과 관련된 악성코드 정보를 공개했습니다. 이 중 sdelete.exe프로그램은 MS에서 신뢰할 수 있는 프로그램으로 간주하고 있는 파일입니다.

파일명	역할
cngdisp.exe  cngdisp_new.exe	ATM 기기에서 돈을 인출할 수 있도록 하는 기능을 갖고 있으며, 외부와 통신할 수 있는 기능은 없다.
cnginfo.exe	ATM 내부 정보(OS, 카드 삽입 여부 등)를 확인할 수 있는 기능을 갖고 있으며, 인출되는 곳의 커버를 열고 닫을 수 있다. 외부와 연결할 수 있는 기능은 없다.
sdelete.exe	프로그램 실행 후 상위 3개 악성코드를 삭제할 수 있는 기능을 갖고 있으며, cleanup.bat를 실행한다.
cleanup.bat	- 없음

2010년 7월 28일, Black Hat에서는 ATM 기기로부터 돈을 인출할 수 있는 기술 “jackpotting”을 공개했습니다. ATM 기기를 해킹하는 기술은 총 2가지가 있습니다. ATM 기기에 물리적 접촉을 하는 것과 원격에서 공격을 시도하는 방식입니다.

이번 공격은 과거에 발생했던 Anunak(즉 Carbanak)공격 조직을 떠올리게 합니다. 이 조직 또한 ATM을 공격하여 현금을 인출할 수 있었습니다. 아래는 Anunak(즉 Carbanak)와 대만제일은행의 사건을 비교한 내용입니다. 

	Anunak	대만제일은행
공격 조직	러시아인 등	모름
공격 방식	악성코드 이용	악성코드 이용
침입 방식	은행 내부망 침입, ATM 권한 획득	은행 내부망 침입, ATM 권한 획득
ATM 브랜드	Wincor	Wincor
인출 방식	인출할 수 있는 최대금액을 넘겨 연속 인출	인출할 수 있는 최대금액을 넘겨 연속 인출
공격 규모	52대 ATM	41대 ATM
피해액	5,000만 루블	약 8,327만 대만 달러

출처 : 

http://bobao.360.cn/news/detail/3374.html