ATM 비밀번호 입력하는 순간을 포착하는 와이어태핑 공격

2014년 유럽에서 처음 발견된 기법...기계에 구멍 뚫고 카메라 설치
ATM 사용할 땐 사람들 많은 번화가가 더 안전...비밀번호는 꼭 가리고

[보안뉴스 문가용 기자] 한 달 전, FBI가 전 세계 은행을 향해 ‘ATM 캐시아웃 블리츠(ATM Cashout Blitz)’ 공격을 조심하라는 경고성 내용을 발표한 바 있다. ATM 기기 내에 있는 모든 돈을 바닥까지 다 빼앗아내는 공격이다. 그리고 한 달 정도가 지난 오늘 미국 비밀국이 ‘ATM 와이어태핑(Wiretapping)’ 공격이 증가하고 있다는 경고를 발표했다.

[이미지 = iclickart]

ATM 와이어태핑 공격이란, 보다 고급화 된 스키밍 공격 기술로 2014년 유럽에서 최초로 발견됐다. 1) 공격자가 ATM 기기에 물리적으로 접근하여, 2) 드릴로 큰 구멍을 전면에 뚫고, 3) 카드 스키밍 기기나, 4) 작은 카메라나, 5) 가짜 키패드를 설치해 6) 사용자의 비밀번호를 훔쳐내는 방법이다.

물론 이 과정에서 드릴로 뚫어낸 구멍은 가짜 판으로 막는데, 여기에는 보통 은행의 로고가 그려져 있다. 그러니 면밀히 ATM 기기를 보지 않는 사용자들이라면 속기 쉽다. 또한 장비가 ATM 기계 속에 숨겨져 있기 때문에 탐지가 더더욱 힘들다고 한다.

이런 종류의 공격에 당하지 않으려면 어떻게 해야 할까? 제일 먼저는 사용하고자 하는 ATM 기기를 꼼꼼하게 관찰해야 한다. 어딘가 이상한 부분이 없나, 누군가 강제로 특정 부품을 뜯어내거나 완력을 가한 흔적이 있는가 살펴야 한다. 또한 외딴 곳에 있는 ATM 기기보다 사람들이 많이 다니는 곳의 ATM 기기가 더 안전하다. 그리고 비밀번호를 입력할 때 손으로 가리는 습관도 중요하다.

보안 전문 블로그 크렙스온시큐리티(KrebsOnSecurity)는 다음과 같은 권고 사항을 적어놓고 있다. “물론 공격자들이 비밀번호를 입력하는 패드에 오버레이 공격을 펼칠 수도 있습니다. 비밀번호를 훔쳐내려면 여러 방법을 사용할 수 있지요. 그러나 여태까지 발생해온 ATM 공격들을 봤을 때 거의 대부분 범죄자들은 카메라나 스키밍 장치를 숨기더군요. 그러므로 비밀번호를 입력할 때 손만 제대로 가려도, 와이어태핑 공격의 위험에서 벗어날 수 있습니다.”

3줄 요약
1. 항상 공격자들의 큰 관심 대상인 ATM. 최근 와이어태핑에 대한 경고 나옴.
2. 와이어태핑 공격은 ATM 내부에 카메라 등 설치해 사용자들의 비밀번호 알아내는 것.
3. 비밀번호 입력할 때 손으로 잘 가리기만 해도 방어하는 게 가능함.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)