카스퍼스키랩에서 사이버 범죄자들이 은행에서 설계한 최신 ATM 인증 기술의 취약점을 악용하는 방법에 대해 조사를 진행했으며 그 위험성을 경고했다.

상당수의 금융 기관이 현재 사용중인 인증 수단을 대체할 새로운 방법으로 생체 인식 기반 솔루션을 가장 유력하게 고려하고 있는데 기존 인증 수단을 완벽하게 대체하지 못할 경우 사이버 범죄자에게는 민감한 정보를 훔치기 위한 새로운 기회가 될 수 있는 것으로 드러났다.

그간 ATM은 범죄자들에게 신용 카드 정보를 훔치는 창구와도 같았다. 이 모든 범죄의 시작은 스키머였다. 초기에는 집에서 허술하게 만든 도구를 ATM에 부착해 가짜 번호 패드나 웹캠을 통해 카드의 자기 테이프 정보와 비밀 번호를 훔치는 형태였는데 시간이 지나면서 훨씬 정교하고 눈에 뜨지 않도록 스키머의 디자인도 발전했다.

설치는 어렵지만 전자칩 내장 신용 카드까지도 복제할 수 있게 된 스키머는 ‘쉬머(Shimmer)’라고 불린다. 크게 보면 같은 도구지만 쉬머는 카드의 내장 칩에서 다량의 정보를 수집해 온라인을 통해 2차 공격을 시도할 수도 있다. 이러한 위협에 금융 기관에서는 새로운 인증 솔루션으로 대응했으며 그 중 일부가 생체 인식을 기반으로 하고 있다.

카스퍼스키랩의 지하 사이버 범죄 조직 연구에 따르면 피해자의 지문을 훔칠 수 있는 기능을 갖춘 스키머 판매자가 12명 이상이다. 또 3명 이상의 판매자가 이미 손바닥 정맥과 홍채 인식 시스템에서 데이터를 훔칠 수 있는 장비를 찾고 있다.

생체 인식 스키머의 첫 번째 등장은 2015년 9월 ‘스키머 장비 테스트’중에 발견됐다. 카스퍼스키랩의 연구진이 수집한 증거에 의하면 초기 테스트 기간 동안 스키머에서 여러 개의 버그가 발견됐다.

그러나 가장 큰 문제는 생체 인식 데이터 전송에 사용되는 GSM 모듈이었다. 너무 느려서 대량의 데이터를 전송할 수 없었던 것이다. 그 결과 새로운 버전의 스키머는 더욱 빠른 데이터 전송 기술을 사용할 것으로 전망된다.

또 사이버 범죄 커뮤니티에서 사람의 얼굴에 마스크를 씌우는 방식을 기반으로 하는 모바일 애플리케이션 개발에 대한 논의가 진행되고 있다는 징후도 있다. 이러한 앱을 통해 공격자들은 소셜 미디어에 게시된 어떤 사람의 사진을 이용해 안면 인식 시스템을 속이는 데 사용할 수 있을 것이다.

이창훈 카스퍼스키랩코리아 지사장은 “생체 인식의 문제점은 문제가 발생했을 경우 손쉽게 변경할 수 있는 암호나 핀 코드와는 달리 지문이나 홍채를 바꿀 수 없다는 점이다. 따라서 생체 인식 데이터가 한번 손상되면 해당 인증 방법은 더 이상 안전하지 않다. 그래서 반드시 생체 인식 데이터의 보안을 철저히 하고 안전한 방법으로 전송해야 한다. 생체 인식 데이터는 전자 여권과 비자에도 기록된다. 그러니 전자 여권이 도난당하면 단순히 문서만 없어지는 것이 아니라 그 사람의 생체 인식 데이터까지 범죄자의 손에 넘어가는 것이다. 한 사람의 신원 자체를 갖게 되는 것이므로 주의해야 한다”고 말했다.

카스퍼스키랩 연구진들은 생체 인식 데이터를 훔칠 수 있는 도구가 등장한 지금 상황에서 ATM만이 위험한 것은 아니라고 전했다. 해커들은 앞으로도 악성 코드를 통한 공격, 네트워크 공격을 이어갈 것이며 이를 통해 탈취한 데이터를 향후 은행과 그 고객으로부터 돈을 훔치는 데 활용할 것으로 예측된다.

이 기사를 공유합니다
저작권자 © 테크월드뉴스 무단전재 및 재배포 금지