세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
북한의 라자루스 그룹, 인도 은행서 1350만 달러 훔쳐
  |  입력 : 2018-08-28 10:32
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
8월 10~13일 사이에 ATM과 SWIFT 네트워크 노려 범행
왜 인도 은행에서는 경보 울리지 않았을까?...특수한 멀웨어 사용된 듯


[보안뉴스 문가용 기자] 북한의 해킹 단체인 라자루스 그룹(Lazarus Group)이 인도의 코스모스은행(Cosmos Bank)로부터 1천 3백 5십만 달러를 훔친 것으로 보인다. 그러면서 은행들의 보안 시스템에 한계가 있음 또한 드러났다.

[이미지 = iclickart]


사건이 발생한 건 2018년 8월 10~13일 사이다. 라자루스 그룹은 28개국에서 가짜 ATM 거래를 수천 번 발동시키고, 코스모스은행이 사용하고 있던 SWIFT(국제 은행간 통신 네트워크)에 접근해 최소 세 번의 사기성 송금을 진행해 돈을 훔쳐냈다.

아직까지 코스모스은행 네트워크에 최초로 침투한 방법에 대해서는 알려진 바가 없다. 다만 과거 라자루스 그룹의 전형적인 공격 방식은 스피어피싱 이메일이었고, 네트워크 내에 침투 성공 후 횡적인 움직임을 통해 치명적인 시스템에 접근해왔다고 보안 업에 시큐로닉스(Securonix)는 설명한다.

“ATM 거래와 SWIFT를 통한 거래를 모니터링하는 게 얼마나 중요한 일인지가 드러난 사건이기도 하지만, 사실 지금의 모니터링 체제로는 라자루스 같은 그룹을 막을 수 없다는 것도 드러난 사건입니다. 현대의 보안 시스템은 필요한 것의 10~20% 정도만을 제공해주는 듯 합니다.”

코스모스은행은 111년 된 은행으로, 7개 국가 39개 도시에 지점을 가지고 있다. 라자루스 그룹은 8월 10일과 11일 사이에 코스모스은행의 엔드유저 시스템을 침해하는 데 성공했고, 이를 활용해 ATM 인프라에 접근 및 침해했다. 여태까지 공개된 정보와 시큐로닉스 자체 분석에 의하면 라자루스는 표적형 멀웨어 익스플로잇을 여러 개 사용해 악성 ATM/POS 프록시 스위치를 설치했고, 코스모스은행의 중앙 스위치와 병행해 움직이도록 했다.

그런 후 라자루스는 은행의 ATM/POS 중앙 스위치와 은행 끝단의 핵심 뱅킹 시스템(Core Banking System) 사이의 연결을 끊거나 우회시켰다. 시큐로닉스에 의하면 이 스위치는 라우팅과 거래 처리 결정을 내리는 데 필요한 요소라고 한다.

또한 시큐로닉스의 위협 분석 팀인 올렉 콜레스니코프(Oleg Kolesnikov)는 “여러 정보에 의하면 공격을 위해 하드웨어를 추가로 설치한 것으로 보이지는 않는다”고 설명한다. “악성 지불 스위치는 대부분 소프트웨어의 형태로 설치됩니다. 라자루스 그룹이 사용한 것도 소프트웨어일 것으로 보입니다. 다만 어느 정도 자신들의 목적에 맞게 수정했을 수는 있습니다.”

라자루스는 수백 개 계정들의 인출 한도액을 높인 것으로 보인다. 또한 해외에서도 그 계정들을 통해서 인출이 가능하도록 설정 내용도 바꿨다. 라자루스 그룹을 돕거나 이 그룹에 고용된 사람들은 EMV가 아닌 체크카드를 450개 복사한 후, 세계 여러 곳의 ATM에서 1만 2천여 건의 현금 인출을 시도했다. 인도 내에서도 2849건의 거래를 시도했는데, 총 거래 금액이 1천 1백 5십만 달러다.

이런 시도가 있기 전 라자루스가 ATM 스위치와 은행의 핵심 시스템을 침해했기 때문에 이런 거래들을 통해 발생되는 메시지나 코드들은 은행으로 전달되지 않았다. 그러므로 카드 번호나 카드 상태를 확인하거나, PIN 번호를 인증하는 절차가 사라졌다. 공격자들은 가짜 ATM/POS 스위치를 사용해 가짜 명령을 보내 인증 단계를 통과할 수 있었다고 한다.

최초 침투가 발생하고 약 이틀 후, 라자루스는 코스모스은행의 SWIFT 네트워크에도 접근하는 데 성공했다. 그리고 이를 통해 2백만 달러에 달하는 돈을 홍콩의 항생은행(Hang Seng Bank)의 한 계좌로 불법 송금했다. 이 계좌는 어떤 무역 회사가 가지고 있는 것으로 나타났다.

코스모스은행이 당한 공격은 기존의 잭팟팅(jackpotting) 공격이나 블랙박스(black box) 공격과는 다르다. 이 두 공격은 공격자들이 ATM 기기를 물리적으로 공격하고 감염시켜 현금을 뱉어내게 하는 공격이지만, 이번 라자루스의 공격에서는 은행의 핵심 인프라가 먼저 공격을 당하고, ATM 인프라 보호를 위해 은행들의 취하고 있는 여러 가지 방법들이 전부 무력화됐다. 또한 가짜 카드로 돈을 인출하는 것 외에는 전부 논리적인 공격이었다.

아직도 불확실하게 남아있는 건 ATM 스위치와 핵심 은행 시스템 사이에 연결이 끊어졌을 때나 비정상적인 거래가 수천 건이나 발생하는 데 아무런 경보가 울리지 않은 이유다. “아직 이 이유는 조사 중에 있습니다. 아마 연결이 끊어졌다기보다 우회된 것이 아닐까, 그래서 시스템 경보가 울릴 이유가 없지 않았을까 합니다. 또한 수천 건의 불법 거래 요청 역시 은행 내 설치된 악성 요소들로 전달되었을 가능성이 높아 보입니다.”

그래서 시큐로닉스는 라자루스가 악성 거래 요청에 대응할 수 있는 프록시 스위치를 설치했을 거라고 보고 있다. 또한 표적형 공격 멀웨어들을 사용해 카드 관리 프로세스도 사전에 관찰했을 것이라고 추측하고 있다. SWIFT 터미널에 접근한 것에도 또 다른 멀웨어가 사용되었을 것으로 예상하고 있다.

3줄 요약
1. 북한의 라자루스, 인도의 한 은행으로부터 1천만 달러 넘는 돈 훔침.
2. 훔치는 과정에서 다양한 멀웨어 사용한 것과 같은 정황들 나옴.
3. ATM 인프라와 SWIFT 인프라 모두 노려서 나온 결과.


[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)