미국 연방수사국(FBI)이 미국 전역에서 악성소프트웨어를 이용해 현금자동입출금기(ATM)에서 현금을 불법으로 방출하게 하는 잭팟 공격(jackpotting attack)이 급증하고 있다고 경고했다. FBI는 상세한 기술 정보와 침해 지표(IOC)를 포함한 경고 성명을 발표했다. 2020년 이후 보고된 잭팟 사건 누적 1,900건 중 2025년만으로 700건 이상이 발생했으며 피해액은 2,000만 달러를 초과하고 있다.
보통 ATM은 은행 승인을 받은 후 현금을 방출하지만 악성소프트웨어가 확장 금융서비스(XFS)에 직접 지령을 보내 은행 승인 절차를 완전히 우회하고 공격자 요구에 따라 즉시 현금을 방출하게 할 수 있다. 많은 ATM에서 공통으로 채택하고 있는 윈도 운영체제 취약점을 공략하기 때문에 제조사를 불문하고 광범위한 기종이 피해를 입고 있으며 고객 계좌 정보나 카드를 사용하지 않고 단 몇 분 내에 다량 현금이 도난당하는 게 특징이다.
감염 경로에 대해 FBI는 공격자가 시판되는 범용 열쇠를 이용해 ATM 전면 패널을 열고 내부 HDD에 물리적으로 접근하는 수법이 가장 많이 확인되고 있다고 밝혔다. 공격자는 HDD를 일단 제거한 뒤 외부 컴퓨터에서 악성소프트웨어를 기록하거나 또는 미리 악성소프트웨어를 심은 별도 드라이브나 외부 기기로 교체한 뒤 시스템을 재시작해 부정 프로그램을 실행하게 한다. 따라서 공격은 보수 일정 외의 도어 개방 경보, 예상치 못한 현금 잔액 급감, 갑작스러운 ATM 가동 중단, 내부로의 미승인 기기 연결 등으로 적발되는 경우가 많다고 한다.
FBI에 따르면 윈도 기반 ATM 시스템 내에서는 예상 외 실행 파일(Newage.exe, Color.exe, Levantaito.exe, NCRApp.exe, sdelete.exe, Promo.exe, WinMonitor.exe, Anydesk1.exe)이 발견되고 있다고 밝혔다. 또 팀뷰어(TeamViewer)나 애니데스크(AnyDesk) 같은 원격 접속 도구 무단 설치나 의심스러운 IP 주소로부터의 접근 로그도 중요한 단서가 된다. 시스템 감시에서는 USB 기기 삽입을 감지하는 이벤트 ID 6416이나 파일 조작을 기록하는 이벤트 ID 4663 등 이벤트 로그를 상세히 분석해 공격 초기 단계를 특정할 수 있는 가능성이 있다.
FBI는 물리 및 디지털 양면에서 대책을 강구할 걸 권장하고 있다. 예를 들어 물리 면에서는 표준 열쇠를 독자적인 것으로 변경하고 진동이나 온도 변화를 감지하는 센서, 보수 해치 개방 시 작동하는 경보, 현금 박스로의 추가 장벽을 설치하는 게 유효하다.
FBI는 디지털 면에서는 HDD 암호화나 신뢰도 플랫폼 모듈(TPM)을 이용한 부팅 시 무결성 검사, 기기 화이트리스트화에 더해 검증된 시스템 상태인 골드 이미지와 현행 해시 값을 정기적으로 비교·검증하는 게 네트워크 감시를 빠져나가는 악성소프트웨어를 방지하기 위한 가장 강력한 수단이라고 주장했다.
FBI는 의심스러운 활동을 감지한 경우 신속하게 지역별 FBI 현지사무소나 인터넷범죄불만센터(IC3)에 보고할 걸 촉구하고 있다. 관련 내용은 이곳에서 확인할 수 있다.
