카바낙 해킹그룹, 은행서 1조원 이상 훔쳐

30개국 이상 피해…ATM에 악성코드 심어

일반입력 :2015/02/17 10:28    수정: 2015/02/17 10:29

손경호 기자

지난 2년 간 '카바낙(Carbanak)'이라는 해킹그룹이 세계 은행들로부터 10억달러에 달하는 금액을 훔쳐왔다는 사실이 밝혀졌다.

16일(현지시간) 미국 지디넷 등 외신에 따르면 카스퍼스키랩은 인터폴, 유로폴, 영국 국립첨단범죄수사국(NHTCU) 등과 공조해 이 같은 사실을 확인했다.

2013년 이후 이들 해킹그룹은 카바낙이라는 악성코드를 악용해 은행, 전자결제시스템, 금융기관 등에 대한 공격을 시도했다. 적어도 30개국 이상이 피해대상인 것으로 확인되고 있다.

일반적인 사이버범죄와 달리 카바낙 해킹그룹은 일반 사용자를 노리는 대신 은행 자체를 공격대상으로 삼았다.

세르게이 골로바노프 카스퍼스키랩 글로벌 연구 및 분석팀 책임연구원은 ATM을 직접 조작하지 않고서도 돈을 인출할 수 있게 하는 동영상을 본 뒤부터 이들 조직을 추적하기 시작했다고 말했다.

그 뒤 은행은 문제를 해결하기 위해 카스퍼스키랩 등 보안회사에 도움을 요청했다. 해당 ATM 내에 특정 영역들이 모두 악성코드에 감염돼 있었기 때문이다. 골로바노프와 동료들은 ATM 네트워크 내에서 악성코드 존재 여부를 검색한 결과 일부에 불과했지만 치명적인 영향을 줄 수 있는 것들이었다고 밝혔다.

이를 통해 카바낙에는 오픈소스형태로 공개된 악성코드인 카버프(Carberp), 아누낙(Anunak) 등 금융정보를 노린 악성코드가 포함됐다는 사실이 밝혀졌다.

카바낙의 존재가 처음 밝혀진 것은 러시아 모스크바 소재 은행의 내부 네트워크에서였다. 공격자들은 3개 스피어피싱 이메일을 통해 내부 시스템에 침입하는데 성공했으며, 은행 네트워크는 2달 간 감염사실을 몰랐으며, 그 사이 중국어로 된 총 22개의 취약점 공격툴(exploit)이 설치돼 있었다는 사실을 확인했다.

일단 카바낙은 회사 내부망에 뿌려지며, 관리자 PC를 추적한다. 은밀한 영상감시프로그램을 통해 현금거래시스템을 다루는 모습을 촬영한다. 이 데이터를 토대로 사이버범죄자들은 내부 직원을 흉내내 현금을 다른 곳으로 송금한다. 온라인 뱅킹, 국제 결제시스템이 중국, 미국 등 계좌로부터 훔친 자금을 저장하는 용도로 쓰인다.

이밖에 계좌시스템에 남아있는 잔고를 은밀하게 자신들의 계좌로 송금하는 대담한 수법을 쓰는 것은 물론, ATM의 경우 내부 시스템 조작을 통해 특정 시간대에 돈을 인출하도록 조작하기도 했다. 범죄자들은 해당 시간까지 기다렸다가 인출된 돈을 가져갔다.

관련기사

카스퍼스키랩에 따르면 단일 사건 중 최대 1천만달러까지 도난당한 사례가 있다고 설명했다. 감염에서 실제 자금을 빼내는데까지 이들 그룹은 2달~4달 간 작업기간이 필요했다.

이러한 공격은 러시아, 우크라이나 등을 포함한 유럽과 중국, 미국, 영국, 호주, 캐나다, 홍콩 등이 주요 대상으로 꼽혔다.