북한의 라자루스 그룹, 인도 은행서 1350만 달러 훔쳐

8월 10~13일 사이에 ATM과 SWIFT 네트워크 노려 범행
왜 인도 은행에서는 경보 울리지 않았을까?...특수한 멀웨어 사용된 듯

[보안뉴스 문가용 기자] 북한의 해킹 단체인 라자루스 그룹(Lazarus Group)이 인도의 코스모스은행(Cosmos Bank)로부터 1천 3백 5십만 달러를 훔친 것으로 보인다. 그러면서 은행들의 보안 시스템에 한계가 있음 또한 드러났다.

[이미지 = iclickart]

사건이 발생한 건 2018년 8월 10~13일 사이다. 라자루스 그룹은 28개국에서 가짜 ATM 거래를 수천 번 발동시키고, 코스모스은행이 사용하고 있던 SWIFT(국제 은행간 통신 네트워크)에 접근해 최소 세 번의 사기성 송금을 진행해 돈을 훔쳐냈다.

아직까지 코스모스은행 네트워크에 최초로 침투한 방법에 대해서는 알려진 바가 없다. 다만 과거 라자루스 그룹의 전형적인 공격 방식은 스피어피싱 이메일이었고, 네트워크 내에 침투 성공 후 횡적인 움직임을 통해 치명적인 시스템에 접근해왔다고 보안 업에 시큐로닉스(Securonix)는 설명한다.

“ATM 거래와 SWIFT를 통한 거래를 모니터링하는 게 얼마나 중요한 일인지가 드러난 사건이기도 하지만, 사실 지금의 모니터링 체제로는 라자루스 같은 그룹을 막을 수 없다는 것도 드러난 사건입니다. 현대의 보안 시스템은 필요한 것의 10~20% 정도만을 제공해주는 듯 합니다.”

코스모스은행은 111년 된 은행으로, 7개 국가 39개 도시에 지점을 가지고 있다. 라자루스 그룹은 8월 10일과 11일 사이에 코스모스은행의 엔드유저 시스템을 침해하는 데 성공했고, 이를 활용해 ATM 인프라에 접근 및 침해했다. 여태까지 공개된 정보와 시큐로닉스 자체 분석에 의하면 라자루스는 표적형 멀웨어 익스플로잇을 여러 개 사용해 악성 ATM/POS 프록시 스위치를 설치했고, 코스모스은행의 중앙 스위치와 병행해 움직이도록 했다.

그런 후 라자루스는 은행의 ATM/POS 중앙 스위치와 은행 끝단의 핵심 뱅킹 시스템(Core Banking System) 사이의 연결을 끊거나 우회시켰다. 시큐로닉스에 의하면 이 스위치는 라우팅과 거래 처리 결정을 내리는 데 필요한 요소라고 한다.

또한 시큐로닉스의 위협 분석 팀인 올렉 콜레스니코프(Oleg Kolesnikov)는 “여러 정보에 의하면 공격을 위해 하드웨어를 추가로 설치한 것으로 보이지는 않는다”고 설명한다. “악성 지불 스위치는 대부분 소프트웨어의 형태로 설치됩니다. 라자루스 그룹이 사용한 것도 소프트웨어일 것으로 보입니다. 다만 어느 정도 자신들의 목적에 맞게 수정했을 수는 있습니다.”

라자루스는 수백 개 계정들의 인출 한도액을 높인 것으로 보인다. 또한 해외에서도 그 계정들을 통해서 인출이 가능하도록 설정 내용도 바꿨다. 라자루스 그룹을 돕거나 이 그룹에 고용된 사람들은 EMV가 아닌 체크카드를 450개 복사한 후, 세계 여러 곳의 ATM에서 1만 2천여 건의 현금 인출을 시도했다. 인도 내에서도 2849건의 거래를 시도했는데, 총 거래 금액이 1천 1백 5십만 달러다.

이런 시도가 있기 전 라자루스가 ATM 스위치와 은행의 핵심 시스템을 침해했기 때문에 이런 거래들을 통해 발생되는 메시지나 코드들은 은행으로 전달되지 않았다. 그러므로 카드 번호나 카드 상태를 확인하거나, PIN 번호를 인증하는 절차가 사라졌다. 공격자들은 가짜 ATM/POS 스위치를 사용해 가짜 명령을 보내 인증 단계를 통과할 수 있었다고 한다.

최초 침투가 발생하고 약 이틀 후, 라자루스는 코스모스은행의 SWIFT 네트워크에도 접근하는 데 성공했다. 그리고 이를 통해 2백만 달러에 달하는 돈을 홍콩의 항생은행(Hang Seng Bank)의 한 계좌로 불법 송금했다. 이 계좌는 어떤 무역 회사가 가지고 있는 것으로 나타났다.

코스모스은행이 당한 공격은 기존의 잭팟팅(jackpotting) 공격이나 블랙박스(black box) 공격과는 다르다. 이 두 공격은 공격자들이 ATM 기기를 물리적으로 공격하고 감염시켜 현금을 뱉어내게 하는 공격이지만, 이번 라자루스의 공격에서는 은행의 핵심 인프라가 먼저 공격을 당하고, ATM 인프라 보호를 위해 은행들의 취하고 있는 여러 가지 방법들이 전부 무력화됐다. 또한 가짜 카드로 돈을 인출하는 것 외에는 전부 논리적인 공격이었다.

아직도 불확실하게 남아있는 건 ATM 스위치와 핵심 은행 시스템 사이에 연결이 끊어졌을 때나 비정상적인 거래가 수천 건이나 발생하는 데 아무런 경보가 울리지 않은 이유다. “아직 이 이유는 조사 중에 있습니다. 아마 연결이 끊어졌다기보다 우회된 것이 아닐까, 그래서 시스템 경보가 울릴 이유가 없지 않았을까 합니다. 또한 수천 건의 불법 거래 요청 역시 은행 내 설치된 악성 요소들로 전달되었을 가능성이 높아 보입니다.”

그래서 시큐로닉스는 라자루스가 악성 거래 요청에 대응할 수 있는 프록시 스위치를 설치했을 거라고 보고 있다. 또한 표적형 공격 멀웨어들을 사용해 카드 관리 프로세스도 사전에 관찰했을 것이라고 추측하고 있다. SWIFT 터미널에 접근한 것에도 또 다른 멀웨어가 사용되었을 것으로 예상하고 있다.

3줄 요약
1. 북한의 라자루스, 인도의 한 은행으로부터 1천만 달러 넘는 돈 훔침.
2. 훔치는 과정에서 다양한 멀웨어 사용한 것과 같은 정황들 나옴.
3. ATM 인프라와 SWIFT 인프라 모두 노려서 나온 결과.

[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)