방글라데시 정부, 중앙은행 해킹 사건으로 필리핀 은행 고소

2016년 북한의 라자루스가 한 것으로 보이는 대규모 은행털이 사건
필리핀의 한 상업은행 통해 현금 세탁 돼...당시 책임자는 유죄 판결 받기도

[보안뉴스 문가용 기자] 방글라데시 정부가 뉴욕에서 소송을 걸었다. 상대는 필리핀의 한 은행으로, 몇 년 전 방글라데시 중앙은행의 연방준비은행 계좌에서 벌어진 대단위 사이버 은행털이 사건과 관련된 것이다.

[이미지 = iclickart]

2016년 2월 뉴욕에 있는 연방준비은행은 방글라데시 중앙은행의 계좌에서 8천 1백만 달러가 해커들에 의해 불법 송금됐다고 발표했다. 이 돈은 필리핀 마닐라에 있는 리잘 상업은행(Rizal Commercial Banking Corp)으로 송금된 후, 빠르게 인출되어 필리핀 카지노로 흘러들어가 세탁됐다.

방글라데시가 소송을 건건 바로 이 리잘 상업은행이며, 그 외 8천 1백만 달러라는 불법 자금에 손을 대려고 시도했던 모든 사람 및 조직들도 포함된다고 한다. 이에 대해 은행의 최고 책임자인 파즐 카비르(Fazle Kabir)가 AFP 통신을 통해 밝혔다. 뉴욕의 미국 연방준비은행 역시 이 건에 있어서 방글라데시 중앙은행을 지원하기로 협약을 맺은 상태다.

방글라데시 정부는 뉴욕으로 법무팀을 파견했다. 이 소송의 목표는 사라진 8천 1백만 달러를 되찾는 것이다. 이미 필리핀 정부는 2016년 2천 1백만 달러라는 기록적인 벌금을 리잘 상업은행에 명령한 바 있다. 이 거대한 사기 사건에 리잘 상업은행의 역할이 어느 정도 있을 수밖에 없다고 판단을 한 것이다.

하지만 리잘 측은 이에 대해 강력히 반발했다. 2017년 “방글라데시 중앙은행 측이 뭔가를 은폐하려 하고 있다”고 주장하고 나섰다. 그럼에도 리잘 상업은행의 전 책임자인 마이아 데구이토(Maia Deguito)에게는 굉장히 긴 징역형과 1억 9백만 달러라는 벌금형이 선고되었다. 구이토는 현재 범인들과 공모했다는 의혹을 받고 있다.

데구이토는 항소를 할 예정이며, 보석금을 내고 최종 판결이 내려질 때까지는 감옥 밖에서 생활할 수 있다. 방글라데시 중앙은행 해킹 사건으로 유죄 판결을 받은 인물은 데구이토가 유일하다.

이 사건은 필리핀이라는 나라가 검은 돈의 천국이라는 사실을 드러내기도 했다. 필리핀 은행 기밀 관련 법은 세계에서 가장 엄격하고 까다롭기 때문에 계정 주인의 정체가 어지간해서는 탄로 나지 않기 때문에 범죄자들의 ‘구린 돈’이 모일 수밖에 없다. 스위스 은행과 사정이 비슷하다.

한편 방글라데시 중앙은행을 턴 해커들은 미국 연방준비은행에 수많은 송금 요청을 전송해 총 8억 5천만 달러를 훔치려고 했다. 그러나 연방준비은행의 보안 시스템과 범인의 철자 오류로 인해 이 돈은 송금이 되다가 중단됐다. 8천 1백만 달러라는 돈이 적은 것은 아니지만, 공격자들이 노리던 것에 비하면 극히 일부밖에 되지 않는다.

공격자들은 중앙은행이 문을 닫는 금요일 오후에 일을 벌였다. 대응을 최대한 느리게 만들기 위해서였다. 연방준비은행은 토요일과 일요일에는 문을 닫는다는 것도 공격 스케줄을 잡는 데 중요한 참고 사항이었을 것으로 보인다.

미국 연방준비은행은 최초 사건이 발견되었을 때부터 지금까지 “연방준비은행의 시스템은 해킹 당하지 않았다”는 입장을 고수하고 있다. 해커들은 SWIFT라는 국제 은행 간 네트워크 시스템을 침해한 것으로 알려져 있다.

3줄 요약
1. 2016년 발생한 방글라데시 중앙은행 해킹 사건. 8천 1백만 달러 사라짐.
2. 방글라데시 정부는 8천 1백만 달러의 세탁에 연루된 필리핀 은행을 고소함.
3. 필리핀 은행의 당시 책임자는 유일하게 ‘유죄’ 판결을 받은 인물이기도 함.
[국제부 문가용 기자(globoan@boannews.com)]

코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
	랜섬웨어
	피싱/스미싱
	스피어피싱(표적 공격)/국가 지원 해킹 공격
	디도스 공격
	혹스(사기) 메일
	악성 앱
	해적판 소프트웨어
	기타(댓글로)