ATM 해킹으로 700건, 200억원 털렸다

14년 전 보안 연구자의 시연이 현실이 됐다

2010년 블랙햇 보안 컨퍼런스. 보안 연구자 바나비 잭이 무대 위에서 ATM을 해킹해 돈다발을 쏟아내는 장면은 전설이 됐다. 그때는 '이론적 가능성'이었다. 하지만 14년이 지난 지금, 'ATM 잭팟팅'은 범죄자들의 주요 수입원이 됐다.

FBI가 발표한 최신 보안 경보에 따르면, 2025년 한 해 동안 700건 이상의 ATM 공격이 발생했다. 피해 규모는 최소 2000만 달러(약 270억원). 단순한 개별 범죄가 아니라 조직적 비즈니스로 진화한 것이다.

열쇠 하나면 끝? 물리적 접근의 허술함

해커들의 수법은 두 가지로 나뉜다. 첫 번째는 물리적 접근이다. 범용 열쇠로 ATM 앞면 패널을 열고 하드드라이브에 접근하는 방식이다. 'ATM 전용 열쇠'라는 게 따로 있을 거라 생각하지만, 실제로는 여러 제조사가 비슷한 규격을 쓴다.

두 번째는 디지털 공격이다. 플라우투스(Ploutus)라는 악성코드를 심어 ATM을 원격 조종하는 방식이다. 이 악성코드는 다양한 ATM 제조사의 기기에서 작동하며, 대부분의 ATM이 사용하는 윈도우 운영체제를 노린다.

고객 계좌는 멀쩡한데 현금만 사라진다

플라우투스의 무서운 점은 고객 계좌를 건드리지 않는다는 것이다. ATM 자체를 조작해 계좌에서 돈을 빼지 않고도 현금을 토해내게 만든다. 마치 ATM이 '착각'하도록 속이는 셈이다.

이 악성코드는 XFS 소프트웨어를 악용한다. XFS는 ATM의 핀패드, 카드리더, 현금 배출 장치 등을 연결하는 금융서비스 확장 프로그램이다. 해커들은 이 연결고리를 끊고 자신들의 명령을 심는다.

FBI는 "플라우투스는 고객 계좌가 아닌 ATM 자체를 공격한다. 몇 분 만에 현금을 빼낼 수 있고, 돈이 사라진 후에야 발견되는 경우가 많다"고 경고했다.

한국은 안전할까? 예외는 없다

국내 ATM도 예외가 아니다. 대부분의 ATM이 윈도우 기반으로 작동하고, XFS 표준을 따르기 때문이다. 다만 국내는 CCTV 밀도가 높고, 24시간 편의점 등 사람의 눈이 많아 물리적 접근이 상대적으로 어렵다.

하지만 디지털 공격은 다르다. 원격에서도 가능하고, 발견하기 어렵다. 특히 코로나19 이후 비대면 거래가 늘면서 ATM 사용 패턴도 변했다. 심야 시간대 이용이 줄어 범죄 발견이 더 늦어질 수 있다.