"기업과 아무리 수사 협조가 잘 돼도, 밤을 새우고 상주하다시피 머물며 환경을 파악하는데 한 달이 걸린다. 시간 지나면 침입 흔적이 날아간다. 어떡해야 할까. 직접 사건을 확인할 수 있는 기초 데이터를 내부 보안팀, 외부 보안컨설팅업체에 주고, 우리는 외부에서 할 수 있는 조사에 집중했다. 그렇게 해서 원인 파악, 해결에 6개월 걸릴 사건을 1개월 이내에 할 수 있었다. 앞으로 출동하면 이 방식을 많이 쓸 거다."
경찰청 사이버안전국 이지용 수사관이 24일 서울 여의도 금융정보보호컨퍼런스에서 기업 대상으로 발생한 사이버침해사고 수사 과정에 기업측 보안 담당자 및 전문가들과의 협력 중요성을 강조했다. 침입에 의한 기업 해킹 사건 특성상 외부인인 수사관이 내부 인프라 파악부터 진상에 접근해 문제를 해결하기까지 수개월씩 걸리는 시간을 단축하려면 이같은 접근이 필요하다는 판단에서다.
이 수사관은 이날 컨퍼런스에서 '금융 해킹사건 사례 및 보안위협' 주제로 강연하는 자리에서 지난해 국내에서 발생한 은행 현금자동입출금기(ATM) 해킹 사건의 내용, 수사결과, 기업 보안 담당자를 위한 권고사항을 제시했다. ATM 해킹사건 외에도 2013년 이후 매년 발생했던 굵직한 해킹 사건의 내용을 함께 소개했다. 수사관과 기업 보안담당자의 협력 중요성은 2016년 발생 사건 대응과정을 설명하며 나왔다.
■ "6개월 걸릴 일 1개월만에"…해킹사건 수사에 기업 공조 필요한 이유
2016년 사건은 '유령쥐사건' 또는 '고스트랫(Gh0stRAT)' 사건이라는 별명으로도 불린다. 해커가 국내 대기업의 PC관리시스템 취약점을 이용해 1차 침입, 2단계로 고스트랫 등 33종의 악성코드를 동원해 관리자 PC와 각종 서버를 장악해, 방위산업관련 문서 등 4만여건을 유출한 사건이었다. 해커가 문서유출방지를 위한 디지털권한관리(DRM) 서버도 장악해, 암호화된 문서의 복호화도 할 수 있었을 것으로 추정됐다.
이 수사관은 "일반적으로 해킹(침입), 정보수집, 자료탈취, 파괴, 4단계로 진행되는데 그래도 2016년 유령쥐사건은 '파괴'까지 가기 전에 차단했다"며 "여러분의 기업환경을 알지 못하는 수사관들이 환경을 파악하려고 기업에 거의 상주해 밤샘하듯 일하고 아무리 협조가 잘 돼도 한달이 걸리는데, 그 시점이면 침입흔적이라 할 자료가 다 날아간다는 한계가 있다"고 지적했다.
이어 "2016년 고스트랫 사건 당시에는 내부에서 처음부터 사건을 확인할 수 있는 백데이터를 기업 보안팀과 운영담당자, 컨설팅업체에 다 주고 활용했더니, 해당 업체로부터 이상한 점을 발견했다는 연락이 왔고, 그게 문제인 게 맞았다"며 "기업측에 상응한 대처를 권고하고, 우리는 외부에서 할 수 있는 명령제어서버 분석, 국제사법공조와 추적 등을 할 수 있었다"고 설명했다.
그는 또 "이 사건을 기존 방식대로 수사했다면 적어도 6개월 이상 걸렸을텐데, 이렇게 함으로써 시작부터 원인을 파악하고 해결하기까지 1개월이 채 걸리지 않았고 이게 그간 경험한 가장 (협조가) 잘 된 경우"라며 "앞으로 우리가 여러분 회사에서 문제가 발생해 출동할 경우 아마 아마 이 방식을 많이 쓸 것"이라고 덧붙였다.
이날 그는 2016년 고스트랫사건뿐아니라 2013년 '3·20사건', 2014년 'A기관 워터링홀·스피어피싱'과 한국수력원자력 스피어피싱사건, 2015년 보안의료분야 해킹사건 등 수사 사례도 요약해 소개했다. 이 사건들은 공통적으로 각 기업이 도입, 운영하는 '패치관리시스템(PMS)' 등 중앙관리솔루션의 서버 취약점을 악용당해 침입당하면서 해킹이 진행됐다. 강연에서 주로 설명된 지난해 ATM 해킹사건도 마찬가지였다.
지난해 발생한 ATM 해킹사건은 해커가 2016년 9월부터 2017년 3월 사이 국내 편의점과 슈퍼마켓에 설치된 A업체 ATM 기기 63대를 악성코드에 감염시켜, 23만8천여건의 전자금융거래 및 개인정보를 탈취하고 복제카드를 제작, 사용해 1억원 가량의 금전적 피해를 일으켰던 사례다. 경찰은 금융정보를 유통하고 복제카드를 만들어 부정 사용한 국내 소재 피의자들을 검거, 구속했고 국외 피의자들을 수배했다.
해킹은 2년전인 2016년 10월 30일 시작됐다. 해커는 국내 VAN업체 A사의 ATM 백신관리시스템(VMS)에 침입해, 먼저 2대의 ATM을 악성코드에 감염시키고 파일전송 등 동작을 시험했다. 이후 2017년 2월 20일부터 3월 12일까지 9차례에 걸쳐 추가 침입했다. 이를 통해 FTP 업데이트서버의 ATM 업데이트 모듈을 조작하고 63대의 ATM을 추가 감염시켰다. 감염 ATM으로부터 23만8천여건의 금융정보를 탈취했다.
■ "취약점 존재하는 10년, 15년 된 중앙관리솔루션 문제 매년 반복"
이 수사관은 참석자 가운데 기업 보안업무 담당자들에게 "돌아가면 PMS나 VMS 등 사내 중앙관리솔루션이 뭐가 있고, 그 버전이 얼마나 오래 됐는지 확인해 보라"고 권고했다. 그는 "지금이야 개발단계부터 보안 이슈를 염두에 두고 설정 등을 적용하겠지만 10년, 15년전 개발된 솔루션이 지금도 쓰이고 있다면 분명히 취약점이 존재할 것"이라며 "그에 따른 문제가 매년 반복되고 있다"고 덧붙였다.
경찰은 해외에 나가지 않은 사람이 해외에서 카드를 쓴 내역이 생겼다는 신고를 받아 카드사와 대응하기 시작했다. 해외 사용내역 이전 기록을 추적해보니 특정업체 ATM 기기에서 사용됐다. 경찰은 영장을 받고 ATM 기기를 압수, 분석을 진행했다. 금융기관 ATM과 달리 인터넷에 그대로 연결돼 있었고, 기기에 남지 말아야 할 금융정보 로그가 남는 동작을 하는 것으로 파악됐다.
수사로 파악된 해킹과정은 이랬다. 해커는 2013년 3·20 사이버대란 때부터 많이 쓰인 미국 업체 가상사설망(VPN) 서비스를 통해 침입했다. 해커는 A사가 쓰는 ATM 백신관리시스템(VMS) 서버의 취약점을 파악하고 있었다. 동일한 취약점 사고가 과거에 있었고, 같은 취약점을 스캐닝할 수 있는 툴이 있었다. VMS 서버에 열려 있던 18604, 18605번 포트를 통해 원격관리툴(RAT) 계열 악성코드 다운로드 명령을 보냈다.
백신업체가 VMS 서버를 개발하며 악성프로그램 다운로드 명령의 무결성 검증절차를 넣지 않은 것도 ATM 해킹을 도왔다. RAT계열 악성코드는 백신 업데이트를 받도록 연결된 ATM의 현재 패치 버전 정보를 수집해 명령제어서버로 전송하고 업데이트 모듈을 조작해 ATM 기기 63대를 감염시켰다. ATM 기기에 저장돼 있던 카드, 계좌, 비밀번호, 거래당사자 성명 및 주민번호 등 정보가 23만8천건 수집돼 빠져나갔다.
■ 공격 흔적 보면 북한 해커 소행…금융정보 최초 유포자 조선족 수배중
수사관들은 공격자가 북한 해커였을 것이라 결론내렸다. 검거된 피의자 진술에 따르면 최초 금융정보는 중국 국적 피의자가 북한으로 가서 그쪽 해커에게 외화를 건네고 가공된 금융정보를 USB저장장치로 받았다. 이 피의자는 중간 유통책에 정보를 재판매했고, 이 정보가 한국을 포함해 6개국에서 부정사용됐다. 복제카드를 통한 부정결제 및 현금인출 등으로 1억원 가량 피해가 발생했다는 설명이다.
이 수사관은 "전용망을 쓰는 금융기관 ATM기기와 달리 A사 ATM기기는 일반 인터넷에 연결돼 있어 악성코드가 돌면서 수집한 금융정보를 (해커가 의도한 명령제어서버로) 바로 연결해 통신할 수 있었다"며 "A사 측은 (이미 마이크로소프트가 지원을 중단한) 윈도 업데이트 때문에 일반 인터넷 통신 기능을 열어 놨다고 설명했지만, ATM 기기가 오픈된 인터넷과 통신하면 안 되는 것"이라고 지적했다.
관련기사
- 미 정부 "북한 해커가 소니 해킹 등에 관여"2018.10.24
- 美 ATM 해킹으로 돈 송금...해커에 당했다2018.10.24
- ATM서 돈 빼가는 해킹 패키지, 뭘 담고 있나2018.10.24
- 북한발 국내 ATM 해킹 피의자 일당 검거2018.10.24
이어 "과거 국내에서 발생했지만 이제는 금융기관이 잡아낼 수 있게 된 ATM에 설치된 카드복제장치 문제가 필리핀 등 동남아에선 이제 대두되고 있어, 해외여행시 ATM기기로 현금카드를 쓸 때 주의해야 한다"면서 "해킹에 사용된 명령제어서버가 국내에 있어 회수했고, 국내에 있던 카드복제, 부정사용자는 모두 구속했지만, 해커와 접촉한 중국인(조선족)은 잡을 수 없었고 인터폴을 통해 지명수배했다"고 밝혔다.
또 "해커가 북한 쪽일 것이라고 보는 근거는 10여년간 해킹사건 관련 수사를 하며 축적된 정보"라며 "과거 (북한 해커 소행일 것이라 판정된) 사건과 동일한 취약점, 북한에서 쓰는 명령제어서버가 재사용됐고, 해커가 정보를 다운로드해간 과정에 VPN을 통해 접속하더라도 중간에 오류가 발생해 끊어질 때 흔적으로 북한에 할당된 IP가 정확히 찍히는 식으로 노출된 부분도 있었다"고 설명했다.