세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
한국 범죄자와 손잡은 북한 해커, ATM 해킹해 23만건 금융정보 탈취
  |  입력 : 2017-09-06 23:05
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
카드 복제 통해 현금 인출하는 등 1억 264만 원 사용
경찰청 사이버안전국, 해외 정보판매 총책 등 4명 검거


[보안뉴스 원병철 기자] 북한 해커가 국내 ATM을 해킹해 정보를 빼낸 뒤 이를 바탕으로 카드를 복제해 현금인출 등 1억 264만원을 사용한 사건이 일어났다. 경찰청은 범행에 가담한 해외 정보판매 총책 등 4명을 검거하고 3명은 추적중이라고 밝혔다.

▲ 범행 개요도(검거 4, 미검 3)[자료=경찰청]


국내 현금자동입출금기(ATM) 63대에 악성프로그램을 감염시켜 빼낸 23만여 건의 전자금융거래정보를 북측 해커로부터 전달 받아 유통하고, 이를 바탕으로 카드를 복제해 사용한 피의자 4명을 검거, 정보통신망법 위반 등의 혐의로 구속 송치했다고 경찰청 사이버안전국은 밝혔다.

▲ ATM에서 유출된 자료[자료=경찰청]


경찰 수사결과, 북한 해커는 국내 ATM기 업체 백신 서버의 취약점을 이용해 전산망을 해킹한 뒤, 전국 대형마트 등에 설치된 ATM기 63대에 악성프로그램을 유포해 이를 이용한 피해자들의 전자금융거래 정보 238,073건을 국내에 설치한 탈취 서버를 통해 빼낸 것으로 확인됐다.

피의자들은 북한 해커로부터 금융정보를 전달받아 한국, 대만, 태국, 일본 등 각국의 인출책들에게 유통하고, 복제카드를 만들어 국내·해외에서 현금을 인출하거나 대금 결제, 하이패스 카드 충전 등 부정 사용해온 것으로 확인됐다.

▲ 복제카드 사용내역[자료=경찰청]


해외 정보판매 총책 C(45세, 남, 중국동포), 복제카드를 제작․부정사용한 E(33세, 남, 한국), 현금을 인출한 G(24세, 남, 한국) 등 3명을 구속하고, 국내 정보판매 총책 D(29세, 남, 한국)를 불구속(별건 구속) 송치했으며, 범행 가담 후 해외로 도피한 피의자와 중국에 거주 중인 피의자들에 대해서는 인터폴 적색수배, 국제공조 수사 등을 통해 계속 추적할 예정이라고 밝혔다.

북한 해커 소행이라는 피의자 진술 확보
경찰은 북한 해커로부터 받은 카드정보를 유통했다는 피의자 진술을 확보했다. 악성프로그램 프로파일링과 접속로그 IP 추적으로 공격주체를 북한으로 특정했던 사건에서 한발 더 나아가 범행에 가담한 피의자들을 검거하여 북한 해커 소행이라는 피의자 진술을 확보한 것이다.

▲ 정보유출 개요도[자료=경찰청]


△ 북한 소행 판단 근거
① 2016년 북한발 국가주요기관 해킹사건과 동일한 백신서버 취약점 이용하여 침입
② 2016년 북한발 국가주요기관 해킹사건의 악성코드와 100% 동일한 키로거, 원격제어(RAT) 등이 ATM기 구조분석에 재사용
③ 2016년 대기업 해킹사건의 탈취서버 재사용(○○대학교 등)
④ 2016년 대기업 해킹사건과 비밀번호까지 100% 동일한 웹셀, 유령쥐(Ghost RAT) 등이 탈취서버 제어에 재사용
⑤ 공범 A(중국동포)가 북한 해커로부터 유출된 금융정보를 받아와서 이를 국내·외에 유통시켰다는 카드정보 판매총책(45세, 중국동포, 구속) C 등의 진술

이번 사건은 △단순 카드복제기 설치, POS 단말기 해킹 등 기존 방식과 달리 ATM기를 해킹하여 금융정보를 대량 탈취한 사건이라는 점과 △북한의 사이버테러가 국내인과 결탁한 외화벌이로 확장했다는 점에서 특이할 만하다.

▲ 현금화 개요도[자료=경찰청]


특히, 경찰은 기존 방산기술 탈취 및 전산망 교란 공격에 집중한 북한의 사이버테러가 최근 금전을 목적으로 하는 외화벌이로 확장됐다는 점과 금융정보를 장기간에 걸쳐 지속적으로 탈취하기 위해 내국인을 통해 탈취 서버를 설치한 대담함과 치밀함을 볼 때 북한의 사이버테러가 이제는 국민의 실생활까지 위협하고 있다는 점에 주목하고 있다.

무엇보다 경찰은 2017년 3월 2일경 피해 발생과 동시에 수사에 착수, 해킹 취약점을 규명해 KISA 및 금융보안원과 신속히 공유하면서 추가 공격을 차단했다는 점과 정밀 디지털포렌식을 통해 탈취된 금융정보를 특정하고, 이를 금융감독원에 신속히 통보해 피해 확산을 조기에 차단했다는 점을 강조했다.

경찰청 사이버안전국은 앞으로 유사사례가 발생하지 않도록 유관기관들을 통해 외부 원격접속 차단, 망분리 등 ATM 시스템의 보안 강화조치를 권고했다. 특히, 북한의 사이버테러가 국내 범죄자와 결탁한 금융범죄로 확장되고 있다는 사실에 주목하고, 관련 첩보수집과 수사 활동을 강화할 예정이다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
북한의 사이버 공격이 갈수록 심해지고 있습니다. 해킹 공격이 미사일 공격보다 더 무섭다는 소리도 나올 정도입니다. 정부 차원에서 더 강화된 사이버 보안을 위한 전략을 새롭게 수립해야 한다고 생각하십니까?
아니다. 지금 있는 것만 제대로 해도 충분하다.
그렇다. 단, 미국의 행정명령처럼 장기적인 방향성을 가져야 한다.
그렇다. 단, 지금의 위기상황에 당장 적용할 수 있는 것이어야 한다.
아니다. 민간 차원에서 해결할 수 있어야 한다.
정부 차원의 전략이 얼마나 도움이 될지 잘 모르겠다.
크게 보면 외교 문제다. ‘보안’의 시각으로만 접근해서는 안 된다.
기타(댓글로)