"북한, 방글라데시 은행서 900억원 탈취 성공"

시만텍 인터넷보안위협보고서(ISTR) 22호 '대규모 사이버절도' 사례

컴퓨팅입력 :2017/04/27 10:43

북한의 사이버공격집단이 지난해에만 900억원 상당의 외화 탈취에 성공했다는 분석이 제기됐다. 올해도 이런 시도가 이어질 것으로 관측됐다. 사이버보안업체 시만텍의 인터넷보안위협보고서(ISTR) 제22호에 담긴 내용 일부다.

시만텍코리아는 26일 ISTR을 발표하며 2016년 한 해의 세계 사이버위협 동향과 공격자들의 범죄 동기를 분석한 결과를 제시했다. 그에 따르면 정치적 동기의 사이버 공격이 늘었다. 민족국가의 세계 금융권을 겨냥한 대규모 사이버절도가 성공했다. 일반 IT툴을 무기화한 '자력형 공격'이 많아졌다. 랜섬웨어 공격 사례도 증가했다. 클라우드 환경의 허점을 노린 위협도 포착됐다.

민족국가의 사이버절도 행위가 북한의 사례였다. 보고서에 따르면 시만텍은 방글라데시, 베트남, 에콰도르, 폴란드 등 각국 은행을 겨냥한 해커조직 '라자루스(Lazarus)그룹'의 공격이 북한과 관련된 증거를 발견했다. 이들은 지난해까지 방글라데시에서 8천100만달러, 베트남에서 100만달러, 에콰도르에서 1천200만달러 등 최소 9천400만달러(약 1천60억원) 규모 금액 탈취 시도에 연루된 것으로 파악됐다.

[사진=Pixabay] 은행. 금고털이. 절도. 강도. 금전탈취.

■"발각 안 됐다면 1조원 탈취했을 것"

라자루스그룹은 2016년초 방글라데시 중앙은행 사이버절도에 나섰다. 은행 보안취약점을 이용해 내부 시스템에 침투했다. 중앙은행의 스위프트(SWIFT) 인증정보(credentials)를 탈취했다. 탈취한 인증정보로 사기 거래를 했다. 사기 거래가 들킬 가능성을 낮추고자 악성코드(Trojan.Banswift)를 심어 방글라데시 중앙은행의 거래확인 메시지를 조작했고 방글라데시의 연휴기간 시작 시점에 공격을 시도했다.

방글라데시 중앙은행에서 탈취한 인증정보를 통한 사기 거래는 이렇게 수행됐다. 미국 뉴욕 연방준비은행에 방글라데시 은행 예치금을 필리핀과 스리랑카 은행으로 이체하도록 요청했다. 8천100만달러(약 915억원)를 필리핀으로 이체하는 데는 성공했다. 2천만달러를 스리랑카로 이체하는 요청은 중지당했다. 방글라데시를 통해 확인을 거쳐 사기 거래임이 드러났다. 요청 내용의 재단(foundation)이라는 철자에 낸 오타가 의심을 산 결과였다.

시만텍 ISTR 22호 보고서 일부. 라자루스그룹의 배후로 북한을 지목했고 최근 활동 이력은 2016년초 발생한 방글라데시은행 공격이라고 적고 있다.

먼저 이체된 8천100만달러는 필리핀 카지노 관련 계좌로 흘러들어가 사라졌다. 2016년 11월 방글라데시 중앙은행은 필리핀 소재 카지노에서 그 일부인 1천500만달러를 회수했다. 시만텍은 "오타를 발견하고 이를 의심스럽게 생각한 은행 직원들이 없었다면 이들은 10억달러(약 1조1천300억원) 탈취에 성공했을 것"이라고 주장했다.

시만텍은 방글라데시 중앙은행 공격에 쓰인 악성코드를 분석한 결과 이 악성코드와 라자루스그룹이 과거 사용한 툴이 동일 코드를 썼음을 밝혀냈다. 라자루스그룹은 지난 2014년 소니 해킹 공격자로도 지목됐고, 2009년 이래 미국과 한국에서 발생한 공격 일부에도 연관돼 있는 것으로 추정됐다. 미국 연방수사국(FBI)은 북한 정부를 라자루스그룹 배후라 주장했다.

■"금융기관 공격, 2017년에도 생길 것"

시만텍은 스위프트 네트워크를 이용해 이체를 처리하는 은행을 노린 다른 절도사건 2건과의 연관성도 발견했다고 주장했다. 한 건은 베트남 티엔퐁 은행이 2015년 4분기 겪은 100만달러 이상의 부정이체 시도 차단 사건이다. 다른 한 건은 2016년 4월 언론에 보도된 에콰도르의 방코델아우스트로 은행이 스위프트 거래정보 해킹공격을 당해 1천200만달러 손실을 입은 사건이다.

시만텍은 "최근 대규모 절도 사건은 사이버 공간에서 일어나고 있으며, 공격자들이 탈취한 금액은 수십억달러에 달하고, 그 일부는 조직화된 범죄 집단에 의한 것도 있지만, 민족국가 또한 연루돼 있음이 최초로 드러났다"면서 "라자루스그룹은 2017년에도 금융기관을 겨냥한 추가 공격을 통해 다시 모습을 드러낼 것"이라고 전망했다.

시만텍코리아 윤광택 CTO는 "과거 경제적 목적의 사이버 공격이 주를 이룬 반면, 지난 해에는 체제 전복과 사보타주 활동 등 정치적 의도를 가진 표적 공격이 증가하면서 사이버 공격 동기의 변화가 두드러졌다"며 "공격자들만 알고 있는 제로데이 취약점이나 전문 악성코드가 아닌, 손쉽게 이용할 수 있는 IT자원과 사회공학적 기법을 이용해 공격 효과를 극대화하는 ‘자력형 공격’이 늘고 있다는 것에 주목해야 한다"고 말했다.

시만텍코리아 윤광택 CTO

시만텍은 경제적 이익이 아닌 다른 동기에서 발생하는 사이버 공격 사례가 2016년엔 전년보다 급증했다고 지적했다. 미국 민주당을 겨냥한 사이버 공격과 탈취 정보 유출 사태는 공개적 방식으로 공격 대상 단체와 국가를 불안한 상태로 만들고 무력화하는 성격을 띤다. 지난해 미국 대통령 선거를 겨냥한 공격과 디스크 정보를 지우는 악성코드 샤문(Shamoon) 공격을 포함한 몇몇 시도의 성공 사례는 사이버 범죄자들이 다른 국가 정치에 영향을 주고 불화를 유도하는 시도의 증가를 보여 준다는 설명이다.

■"자력형 공격, 이메일 사기, 랜섬웨어 유포, IoT 기기 위협 모두 증가"

공격 수단은 공격자가 자체 제작한 수단만이 아니라 일반 IT툴을 악용하는 '자력형 공격' 양상도 보인다. 제로데이취약점, 익스플로잇, 전문화된 악성코드만 이용하지 않는다는 뜻이다. 시만텍은 지난해 사이버범죄자들이 윈도PC에 설치되는 일반 스크립트 도구 '파워셸(Powershell)'이나 흔히 사용하는 마이크로소프트(MS) 오피스 파일을 동원한 사례를 확인했다. 시만텍이 확인한 파워셸 파일 95%가 악성이었다. 시스템 관리자들이 일상 업무에 쓰는 IT툴을 쓰면 공격 흔적을 덜 남기고 눈에 잘 띄지 않는다는 점을 노렸다는 설명이다.

이메일은 여전히 일반 사용자들에게 큰 위협이었다. 2016년 이메일 131건 중 1건이 이메일에 악성 링크나 악성 첨부문서를 포함한 메일이었다. 업무 송금 유도 이메일(BEC) 사기라 불리는 스피어피싱 이메일은 지난 3년간 기업에서 30억달러(약 3조4천억원)를 빼앗았고 하루 400곳 이상 기업을 표적으로 삼는다.

관련기사

시만텍 ISTR 22호 인포그래픽.

이밖에도 랜섬웨어는 2016년 100개 이상 신규 패밀리가 발견됐고 세계 랜섬웨어 공격이 전년대비 36% 증가했으며 공격자들이 요구하는 금액 평균은 1천77달러(약 122만원)으로 2015년 294달러(약 33만원)에서 3.7배 가깝게 늘어났다. 미라이(Mirai) 봇넷 사례처럼 대규모 분산서비스거부(DDoS) 공격에 동원되기도 하는 보안이 취약한 사물인터넷(IoT) 기기는 손쉬운 표적으로 지목됐다. 라우터, 보안카메라 등 IoT 기기 대상 공격은 2배 수준으로 늘었고, 공격 시도가 활발할 때 평균 2분에 한 번씩 공격을 받은 걸로 조사됐다. 시만텍은 기업의 클라우드서비스 의존도가 늘면서 서비스 접속 관련 기업의 정책 및 절차 부재가 사용 환경을 위험에 빠뜨릴 수 있다고도 지적했다.

ISTR은 시만텍 글로벌인텔리전스네트워크(GIN) 데이터를 기반으로 사이버공격, 악성코드활동, 피싱, 스팸 동향 분석을 제공한다. 1년간 세계 주요 사이버 범죄와 위협 동향을 조사한 결과다. 시만텍은 세계 70만개 사이버공격그룹을 추적하고 157개국의 위협 활동과 매일 20억건의 이메일을 모니터링하며 하루 이메일 3억3천600만건과 웹요청 24억건을 필터링한다.