네브래스카 연방 대배심은 당국이 전국적인 ATM 해킹 음모라고 부르는 것과 관련하여 31명을 추가로 기소한 기소장을 내렸습니다. 혐의에는 은행 사기, 은행 강도, 컴퓨터 사기 등의 음모가 포함됩니다. 이는 이미 56명의 다른 개인을 기소한 2025년 10월과 12월의 두 차례의 이전 기소에 이은 것입니다. 현재 기소된 개인 수는 모두 87명이다.
미국 법무부(DOJ)의 보도 자료는 미국 전역의 ATM에 악성 코드를 설치하는 것과 관련된 계획을 강조하고 있습니다. 악성 코드는 사이버 보안계에서 “잭포팅(jackpotting)”이라고 부르는 기술을 사용했으며 기본적으로 기계가 명령에 따라 현금을 쏟아내도록 했습니다. 피고인은 악성 코드가 포함된 썸 드라이브와 같은 외부 장치를 연결한 것으로 알려졌습니다. 법무부(DOJ)에 따르면 이 방법은 매우 효과적이어서 수백만 달러의 불법 수익을 창출했다고 합니다.
그러나 법을 회피하는 것만으로는 충분하지 않았습니다. 이제 국토안보부 수사와 함께 FBI의 오마하 현장 사무소가 수사를 주도하고 있습니다. 그들은 전국의 수십 개의 다른 법 집행 기관과 합류하여 지원하고 있습니다. 한편, 검찰은 DOJ의 컴퓨터 범죄 및 지적 재산권 부서와 네브래스카 지방 검찰청입니다.
강도 사건이 어떻게 풀렸는가
대부분의 ATM은 기본적으로 일반 PC입니다. 그리고 대부분은 Windows(종종 이전 버전)로 구동됩니다. 가장 인기 있는 버전 중 하나는 Windows 장기 지원 버전인 Windows 10 LTSC 2015입니다. 이 버전은 최근 Windows 10 소비자 버전과 함께 수명이 종료되었습니다. 따라서 업계는 적어도 현재로서는 해당 소프트웨어의 최신 버전으로 전환하는 과정에 있습니다.
그리고 이 PC는 본질적으로 일반 PC이기 때문에 USB 포트와 데스크톱 컴퓨터에서 기대할 수 있는 모든 일반적인 연결 기능을 갖춘 표준 하드웨어에서 실행됩니다. 따라서 실제로 내부에 물리적으로 접근할 수 있다면 가정용 컴퓨터를 감염시킬 수 있는 것과 동일한 종류의 악성 코드에 취약해집니다. 보도에 따르면 해커로 추정되는 사람들이 여기서 했던 일이 바로 이것이었습니다. 기소장에는 이들이 Ploutus라는 악성코드의 변종을 사용했다고 명시되어 있습니다.
Ploutus는 2013년 멕시코에서 처음 발견된 잘 문서화된 변종입니다. 특히 ATM이 소프트웨어와 현금 지급기 간의 통신에 사용하는 미들웨어 계층을 표적으로 삼습니다. 문제의 미들웨어는 XFS라고 불리며 eXtensions for Financial Services의 약자입니다. 이는 본질적으로 ATM 운영 체제와 물리적 하드웨어 간의 변환기 역할을 합니다. Ploutus는 기본적으로 이 미들웨어를 활용하여 은행의 모든 합법적인 거래 소프트웨어를 우회합니다. 거기에서 현금 지급기에 직접 승인되지 않은 명령을 내립니다. 잠재적인 개인의 카드가 아닌 ATM을 직접 표적으로 삼는다는 점에서 카드 스키밍과는 매우 다른 기술입니다.
악당들이 어떻게 도망갔는가(초기)
DOJ는 음모의 구성원들이 여러 대의 차량을 이용해 그룹으로 이동하여 표적 은행과 신용 조합을 찾아낼 것이라고 주장했습니다. 그들은 먼저 정찰을 수행하고 해당 위치의 보안 카메라 및 경보와 같은 사항을 기록합니다. 그런 다음 그들은 ATM의 외부 케이스를 열고 그것이 어떤 종류의 법 집행 조치를 촉발했는지 확인하기 위해 기다립니다. 해안이 깨끗하다면 계속해서 악성 코드를 설치할 것입니다. 이는 ATM의 하드 드라이브를 교체하고 Ploutus를 기존 하드 드라이브에 로드하거나 단순히 썸 드라이브와 같은 외부 드라이브를 연결하여 수행되었습니다. 전체 과정은 약 10분 정도 소요된 것으로 알려졌다. 또한 이 악성코드는 나중에 자신의 흔적을 삭제하도록 설계되어 은행 직원이 무슨 일이 일어났는지 파악하기 어렵게 만들었습니다. 이 모든 작업이 완료되면 해당 그룹은 훔친 현금을 나눠준 것으로 추정됩니다.
Ploutus 악성 코드군은 법 집행 기관에 잘 알려져 있으며 현재 10년 넘게 감시의 대상이었습니다. Europol과 Trend Micro의 공동 보고서는 초기부터 어떻게 크게 발전했는지 기록했습니다. 초기 버전에서는 설치에 CD가 필요했습니다. 그러나 나중에 반복은 더욱 창의적이 되었습니다. 한 가지 변형은 ATM 하우징 내부에 물리적으로 휴대폰을 숨기고 컴퓨터에 연결하여 범죄자가 SMS를 보내 어디에 있든 원격으로 현금 지급 명령을 실행할 수 있도록 하는 것이었습니다.
유죄가 선고될 경우, 이 사건 피고인들은 20년에서 335년 사이의 징역형을 선고받게 됩니다. 즉, 이 시점에서 기소는 물론 여전히 기소이므로 모든 피고인은 유죄가 입증될 때까지 무죄로 추정됩니다.
