Positive Technologies — Information Security, Compliance Management, Consulting. MaxPatrol Compliance and Vulnerability Management System.

ATM 보안 진단

예전부터 ATM은 부수고 쓸어가는 'smash and grab' 방식을 취하는 범죄자들의 물리적 목표물이었습니다. 그러나 조직 범죄가 날로 정교해지면서 이러한 현금인출기는 컴퓨터화 된 사기의 목표물이 되어가고 있습니다. 멀웨어의 예로는 카드와 PIN 정보를 훔쳐가는 트로이 목마와 문자 메시지를 통해 현금을 인출해가는 플루토스가 있습니다.

ATM 네트워크를 사기로부터 보호하기 위해, Positive Technologies의 뱅킹 보안 전문가들은 전체 ATM 환경을 고려하는 취약점 일련의 진단 방식을 개발했습니다. 이러한 진단을 통해 트로이 목마와 플루토스와 같은 공격에 의해 익스플로잇 되는 소프트웨어, 하드웨어, 통신 프로토콜의 취약점들이 식별되기 때문에 무단 현금 인출 차단과 결제 카드 정보의 보호가 가능합니다. 또한, 맞춤형 툴을 개발하여 식별된 취약점과 관련된 공격의 발생 가능성과 사업에 미치는 영향을 보여줍니다.

취약점 탐지

상세 보안 감사를 통해 즉각적인 관심이 요구되는 가장 중요한 취약점들을 식별하고 조직과 시스템 차원에서 필요한 변경사항에 대한 실질적인 권고사항을 제시합니다. 경험상 가장 일반적인 취약점들은 다음과 같습니다.

  • 취약한 사용자 인증 및 접근 제어
  • 네트워크 통신의 취약점. 예: ATM과 프로세싱 센터와의 통신이 암호화되지 않아 공격자가 가짜 프로세싱 센터를 생성하여 현금을 인출하거나 track2 데이터를 가로채기하게 됩니다.
  • 소프트웨어와 ATM 전용 네트워크 서비스의 취약점. 예: 해커가 키오스크 모드에서 나간 뒤 ATM 내의 운영체제에 대한 무단 접근 권한을 획득합니다.
  • 해커의 보안 컨트롤 우회를 허용할 수 있는 보안 소프트웨어의 취약점
  • BIOS 보안 결함
  • ATM 구송요소 단말(PIN 패드, 디스펜서 유닛, 카드 리더 등) 내의 부적절한 보안. 예: 공격자의 무단 단말기 접근을 허용할 수 있는 XFS를 통한 통신의 취약점.
  • 무단 현금 인출이나 결제 카드 정보 유출로 이어질 수 있는 기타 보안 결점

업계 표준과의 컴플라이언스

Positive Technologies의 보안 진단 방식은 아래와 같이 국제적으로 인정되는 다양한 정보 보안 표준과 규제를 고려합니다.

  • Payment Card Industry Data Security Standard (PCI DSS), PIN Transaction Standards (PCI PTS) ATM Security Guidelines
  • Open Source Security Testing Methodology Manual (OSSTMM)
  • Web Application Security Consortium (WASC) Threat Classification
  • Open Web Application Security Project (OWASP) Testing Guide

포괄적인 ATM 보안

Positive Technologies는 지난 10여 년 간 주요 은행들의 네트워크 보안에 기여해 왔습니다. 간단한 설정 체크리스트만 가지고는 ATM 보안의 모든 측면을 정확히 평가할 수 없습니다. 이에 Positive Technologies의 연구진들은 아래 사항에 대한 심층 분석을 실시합니다.

  • 일반 시스템 정보
  • 주요 시스템 구성요소
  • 하드웨어 및 소프트웨어 버전
  • 네트워크 통신
  • 데이터 전송 프로토콜

위 설정 정보를 수집한 뒤에는 다음과 같은 ATM 보안 수준에 관한 상세 연구가 진행됩니다.

  • ATM과 프로세싱 센터 간 통신의 취약점 식별
  • 소프트웨어와 하드웨어에 존재하는 제로데이 취약점을 비롯한 ATM의 취약점 탐지
  • 취약점을 검증하고 취약점이 사업 운영 및 고객 계정과 개인 정보에 미치는 영향력을 보여주는 맞춤형 익스플로잇 툴의 개발

테스트 전제조건

분석을 위해 하기 사항에 대한 접근 권한이 필요합니다.

  • 프로세싱 센터와 연결된 테스트 환경에 위치한 ATM 캐비닛
  • ATM 시스템 유닛 및 전체 ATM 사용자 역할을 위한 샘플 개인정보
  • 가상 기계, OS의 ISO 이미지 및/또는 전체 ATM에 설치된 소프트웨어의 사본

VPN을 통해 원격으로 실시되는 진단이라도 식별된 취약점 검증과 시연을 위해서 기업의 테스트 환경으로 돌아가야 하는 경우가 발생할 수 있습니다.