Home > 전체기사
북한의 라자루스 그룹, 인도 은행서 1350만 달러 훔쳐
  |  입력 : 2018-08-28 10:32
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
8월 10~13일 사이에 ATM과 SWIFT 네트워크 노려 범행
왜 인도 은행에서는 경보 울리지 않았을까?...특수한 멀웨어 사용된 듯


[보안뉴스 문가용 기자] 북한의 해킹 단체인 라자루스 그룹(Lazarus Group)이 인도의 코스모스은행(Cosmos Bank)로부터 1천 3백 5십만 달러를 훔친 것으로 보인다. 그러면서 은행들의 보안 시스템에 한계가 있음 또한 드러났다.

[이미지 = iclickart]


사건이 발생한 건 2018년 8월 10~13일 사이다. 라자루스 그룹은 28개국에서 가짜 ATM 거래를 수천 번 발동시키고, 코스모스은행이 사용하고 있던 SWIFT(국제 은행간 통신 네트워크)에 접근해 최소 세 번의 사기성 송금을 진행해 돈을 훔쳐냈다.

아직까지 코스모스은행 네트워크에 최초로 침투한 방법에 대해서는 알려진 바가 없다. 다만 과거 라자루스 그룹의 전형적인 공격 방식은 스피어피싱 이메일이었고, 네트워크 내에 침투 성공 후 횡적인 움직임을 통해 치명적인 시스템에 접근해왔다고 보안 업에 시큐로닉스(Securonix)는 설명한다.

“ATM 거래와 SWIFT를 통한 거래를 모니터링하는 게 얼마나 중요한 일인지가 드러난 사건이기도 하지만, 사실 지금의 모니터링 체제로는 라자루스 같은 그룹을 막을 수 없다는 것도 드러난 사건입니다. 현대의 보안 시스템은 필요한 것의 10~20% 정도만을 제공해주는 듯 합니다.”

코스모스은행은 111년 된 은행으로, 7개 국가 39개 도시에 지점을 가지고 있다. 라자루스 그룹은 8월 10일과 11일 사이에 코스모스은행의 엔드유저 시스템을 침해하는 데 성공했고, 이를 활용해 ATM 인프라에 접근 및 침해했다. 여태까지 공개된 정보와 시큐로닉스 자체 분석에 의하면 라자루스는 표적형 멀웨어 익스플로잇을 여러 개 사용해 악성 ATM/POS 프록시 스위치를 설치했고, 코스모스은행의 중앙 스위치와 병행해 움직이도록 했다.

그런 후 라자루스는 은행의 ATM/POS 중앙 스위치와 은행 끝단의 핵심 뱅킹 시스템(Core Banking System) 사이의 연결을 끊거나 우회시켰다. 시큐로닉스에 의하면 이 스위치는 라우팅과 거래 처리 결정을 내리는 데 필요한 요소라고 한다.

또한 시큐로닉스의 위협 분석 팀인 올렉 콜레스니코프(Oleg Kolesnikov)는 “여러 정보에 의하면 공격을 위해 하드웨어를 추가로 설치한 것으로 보이지는 않는다”고 설명한다. “악성 지불 스위치는 대부분 소프트웨어의 형태로 설치됩니다. 라자루스 그룹이 사용한 것도 소프트웨어일 것으로 보입니다. 다만 어느 정도 자신들의 목적에 맞게 수정했을 수는 있습니다.”

라자루스는 수백 개 계정들의 인출 한도액을 높인 것으로 보인다. 또한 해외에서도 그 계정들을 통해서 인출이 가능하도록 설정 내용도 바꿨다. 라자루스 그룹을 돕거나 이 그룹에 고용된 사람들은 EMV가 아닌 체크카드를 450개 복사한 후, 세계 여러 곳의 ATM에서 1만 2천여 건의 현금 인출을 시도했다. 인도 내에서도 2849건의 거래를 시도했는데, 총 거래 금액이 1천 1백 5십만 달러다.

이런 시도가 있기 전 라자루스가 ATM 스위치와 은행의 핵심 시스템을 침해했기 때문에 이런 거래들을 통해 발생되는 메시지나 코드들은 은행으로 전달되지 않았다. 그러므로 카드 번호나 카드 상태를 확인하거나, PIN 번호를 인증하는 절차가 사라졌다. 공격자들은 가짜 ATM/POS 스위치를 사용해 가짜 명령을 보내 인증 단계를 통과할 수 있었다고 한다.

최초 침투가 발생하고 약 이틀 후, 라자루스는 코스모스은행의 SWIFT 네트워크에도 접근하는 데 성공했다. 그리고 이를 통해 2백만 달러에 달하는 돈을 홍콩의 항생은행(Hang Seng Bank)의 한 계좌로 불법 송금했다. 이 계좌는 어떤 무역 회사가 가지고 있는 것으로 나타났다.

코스모스은행이 당한 공격은 기존의 잭팟팅(jackpotting) 공격이나 블랙박스(black box) 공격과는 다르다. 이 두 공격은 공격자들이 ATM 기기를 물리적으로 공격하고 감염시켜 현금을 뱉어내게 하는 공격이지만, 이번 라자루스의 공격에서는 은행의 핵심 인프라가 먼저 공격을 당하고, ATM 인프라 보호를 위해 은행들의 취하고 있는 여러 가지 방법들이 전부 무력화됐다. 또한 가짜 카드로 돈을 인출하는 것 외에는 전부 논리적인 공격이었다.

아직도 불확실하게 남아있는 건 ATM 스위치와 핵심 은행 시스템 사이에 연결이 끊어졌을 때나 비정상적인 거래가 수천 건이나 발생하는 데 아무런 경보가 울리지 않은 이유다. “아직 이 이유는 조사 중에 있습니다. 아마 연결이 끊어졌다기보다 우회된 것이 아닐까, 그래서 시스템 경보가 울릴 이유가 없지 않았을까 합니다. 또한 수천 건의 불법 거래 요청 역시 은행 내 설치된 악성 요소들로 전달되었을 가능성이 높아 보입니다.”

그래서 시큐로닉스는 라자루스가 악성 거래 요청에 대응할 수 있는 프록시 스위치를 설치했을 거라고 보고 있다. 또한 표적형 공격 멀웨어들을 사용해 카드 관리 프로세스도 사전에 관찰했을 것이라고 추측하고 있다. SWIFT 터미널에 접근한 것에도 또 다른 멀웨어가 사용되었을 것으로 예상하고 있다.

3줄 요약
1. 북한의 라자루스, 인도의 한 은행으로부터 1천만 달러 넘는 돈 훔침.
2. 훔치는 과정에서 다양한 멀웨어 사용한 것과 같은 정황들 나옴.
3. ATM 인프라와 SWIFT 인프라 모두 노려서 나온 결과.


[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
신기술이 무서운 속도로 등장하고 있습니다. 가장 시급히 보안 장치/정책/규정규정/표준이 도입되어야 하는 분야는 무엇이라고 생각하십니까?
클라우드와 컨테이너
SDN(소프트웨어 정의 네트워크)
인공지능과 자동화
블록체인
소셜 미디어
기타(댓글로)
      

코오롱베니트
CCTV

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

코맥스
홈시큐리티 / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

동양유니텍
IR PTZ 카메라

하이크비전 코리아
CCTV / IP / NVR

한국하니웰
CCTV / DVR

원우이엔지
줌카메라

포소드
CCTV / 통합관제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

보쉬시큐리티시스템즈
CCTV / 영상보안

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

트루엔
IP 카메라

슈프리마
출입통제 / 얼굴인식

에스카
CCTV / 영상개선

두현
DVR / CCTV / IP

테크어헤드
얼굴인식 소프트웨어

옵티언스
IR 투광기

엔토스정보통신
DVR / NVR / CCTV

구네보코리아
보안게이트

비전정보통신
IP카메라 / VMS / 폴

디케이솔루션
메트릭스 / 망전송시스템

씨오피코리아
CCTV 영상 전송장비

KPN
안티버그 카메라

세종텔레콤
스마트케어 서비스

진명아이앤씨
CCTV / 카메라

티에스아이솔루션
출입 통제 솔루션

아이엔아이
울타리 침입 감지 시스템

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

신우테크
팬틸드 / 하우징

일산정밀
CCTV / 부품 / 윈도우

엘림광통신
광전송링크

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

창우
폴대

케이티앤씨
CCTV / 모듈 / 도어락

유시스
CCTV 장애관리 POE

지에스티엔지니어링
게이트 / 스피드게이트

인터코엑스
영상 관련 커넥터

두레옵트로닉스
카메라 렌즈

씨큐리티에비던스
카메라

유진시스템코리아
팬틸트 / 하우징

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

글로넥스
카드리더 / 데드볼트

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

대원전광
렌즈

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향