방글라데시중앙은행 해킹 ‘남의 일’ 아니다…‘KB국민은행’ 스위프트 코드 발견

방글라데시 중앙은행과 베트남 상업은행을 해킹하는데 사용된 악성코드에서 KB국민은행의 국제은행간통신협회(SWIFT 스위프트) 코드가 발견됐다.

8100억달러라는 막대한 금액의 돈을 빼낸 사상 최대 사기절도 사건으로 기록될 이번 해킹이 오랜 기간에 걸쳐 다양한 지역에 있는 여러 은행을 이용했거나 표적으로 삼았을 가능성이 제기된다.

더욱이 이들이 사용한 악성코드는 2014년 11월 북한 소행으로 지목된 미국 소니픽처스 공격에 쓰인 악성코드와 파일 삭제 함수 진행코드가 유사한 것으로 나타났다.

사이버전 전문 연구그룹인 이슈메이커스랩과 사이버워는 18일 베트남 티엔퐁 상업은행 해킹에 쓰인 악성코드에서 KB국민은행을 포함해 8개 은행의 스위프트 코드가 발견됐다는 분석결과를 내놨다.

분석에 따르면, 해당 악성코드는 국민은행(한국), 싱가포르 UOB은행(싱가포르), ANZ(호주·뉴질랜드)은행(호주), 미쯔비시도쿄UFJ은행(일본), 미즈호코퍼레이트은행(일본), 중국공상은행 하노이(베트남), 유니크레딧은행(이탈리아), 중국공상은행 뉴욕(미국)의 코드를 포함하고 있다.

스위프트 메시지 해킹
자료 : 이슈메이커스랩

악성코드는 이들 8개 은행이 송금 발신자가 되는 특정 조건에 부합될 경우 작동해 스위프트 인터페이스 화면상 금액을 조작해 부정거래 사실을 은폐하려는 기능을 지니고 있다. 화면을 조작해 돈을 다른 곳으로 보냈더라도 발송 은행이 해당 사실을 알지 못하도록 하기 위한 기능이다.

만일 공격자가 베트남 티엔퐁 상업은행 해킹을 시도할 당시 거래조건이 맞은 상태에서 내부 보안관리가 철저히 이뤄지지 않았다면 KB국민은행도 방글라데시 중앙은행처럼 피해를 볼 수 있다는 예상 시나리오가 가능하다.

사이먼 최 이슈메이커스랩 대표는 “해커는 스위프트 메시지를 조작하는 등의 방법으로 특정 은행 계좌 등에 금액을 송금하고, 은행원들이 보는 화면상에서 거래상의 금액을 변조하는 방법으로 해당 사실을 은폐하려 했을 것으로 추정된다”며 “관련해 다양한 시나리오가 가능하다”고 말했다.

이어 최 대표는 “해당 악성코드에서 국내은행이 관련된 것으로 발견됐고, 이전에 북한이 사용했던 것으로 분석된 악성코드와 유사한 기능이 발견돼 북한 소행을 배제할 수 없다는 점에서 국내 은행망에 대한 철저한 점검과 조사가 필요하다”고 강조했다.

이와 관련해 KB국민은행 관계자는 “이번 사건 관련해 이미 스위프트 단말 정밀점검은 물론 악성코드 백신 프로그램 업데이트와 취약점 점검 등 관련 시스템에 대한 조사와 점검을 진행했다”며 “관련피해는 전혀 없었다”고 밝혔다.

악성코드 유사
자료 : 이슈메이커스랩

베트남 티엔퐁 은행 해킹 시도에는 스위프트 메시지 시스템을 조작해 지난 2월 방글라데시 중앙은행의 뉴욕연방준비은행 계좌에서 8100만달러라는 돈을 빼간 해킹과 비슷한 수법을 사용한 것으로 드러났다. 베트남 티엔퐁 은행 해킹은 방글라데시 중앙은행 해킹 이전인 2015년 12월 이뤄진 것으로 분석된 상태다.

최근 스위프트는 1만1000여개 회원 은행들에게 시스템 점검을 긴급 요청했으며, 블룸버그·로이터 등 외신들은 최근 JP모건체이스 등 미국 은행들이 스위프트 메신저 서비스 접속을 일부 제한하는 조치를 시행했다고 보도했다.

금융권과 보안전문가들은 이번 해킹이 영화에서나 나올 법한 대단하고도 대담한 사건으로 보고 있다.

한 금융 보안 전문가는 “이번 해킹을 보면 시나리오가 잘 짜여진 영화 한편을 본 것 같다. 스위프트를 포함해 금융 내부 시스템 환경과 업무 프로세스를 알지 못하면 절대 시도할 수 없는 일이다. 악성코드를 도구로 삼아 자금세탁 과정까지 오랜기간 치밀하게 준비한 대형 국제 범죄로, 이제는 사이버공격 패러다임이 바뀌었다는 것”이라며 “외환거래가 상당히 많은 우리나라 금융사들도 이 사건을 우리와 상관없는 일로 치부하지 말고 관련 보안조치와 점검을 수행해야 한다”고 강조했다.

사이먼 최 대표도 “지금까지 한 번도 이같은 공격이 없었다”며 “해킹에 사용된 악성코드는 굉장히 짜임새 있다. ‘스턱스넷’만큼 대단한 악성코드다. 치밀히 계획돼 있었고 파급력이 크다”고 평가했다.

한편, 이번 사건을 직접 조사하고 있는 해외 보안업체인 BAE시스템, 파이어아이는  북한, 파키스탄을 포함해 적어도 3개 국가를 기반으로 한 해킹조직이 해킹에 가담, 공조해 벌였다는 분석을 내놨다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

관련 글

첫 댓글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다