'이상하네 웬 오타가?' 방글라데시 중앙은행 해킹 배후는 '北'

시만텍 "北 해커들, 전 세계 은행 공격한 흔적 포착… 이메일, 랜섬웨어 등 이용한 해킹 여전히 많아"

/제공=시만텍

지난해 방글라데시 중앙은행 직원들은 프린터기에서 나오는 거래확인 메시지를 보며 고개를 갸우뚱했다. 세계 은행 간 결제시스템인 스위프트(SWIFT)로부터 받은 거래 내역서에 오타가 발견됐기 때문. 해커들의 해킹 ‘흔적’이었다. 예리한 직원들 덕분에 방글라데시 은행은 그나마 피해액을 줄일 수 있었지만 피해액은 막대했다. 해커들은 수천만 달러를 탈취했다. 해커집단의 배후로 북한이 지목되고 있다.

글로벌 보안업체 시만텍이 26일 공개한 '인터넷 보안 위협 보고서(ISTR)'를 통해 "방글라데시, 베트남, 에콰도르, 폴란드 등에서 일어난 은행권 사이버 공격이 북한과 관련돼 있는 증거를 발견했다"며 "북한은 이를 통해 최소 9400만(한화 1060억원) 달러를 탈취하는데 성공한 것으로 보인다"고 밝혔다.

보고서에 따르면 해커집단은 은행 내부 시스템에 침투해 방글라데시 중앙은행의 스위프트 인증정보를 탈취한 뒤 사기 행각을 펼쳤다. 사기행각이 발견되는 것을 지연시키기 위해 악성코드를 심어 방글라데시 중앙은행의 거래확인 메시지를 조작하고 주말이 시작되는 시점에 공격을 가한 치밀함도 보였다.

해커집단은 방글라데시 중앙은행에서 탈취한 스위프트 인증정보를 사용해 미국의 뉴욕 연방준비은행에 방글라데시 은행의 예치금을 필리핀, 스리랑카 등의 은행으로 이체해줄 것을 요청했다. 4건의 이체는 성공했지만 스리랑카 비영리 재단으로 2000만달러를 이체해 달라는 요청건은 철자를 잘못 기재하는 바람에 들통이 났다. 이체 금액은 대부분 필리핀 내 카지노와 연관된 계좌로 흘러 들어간 것으로 확인됐다.

시만텍은 "이번 공격은 금융 사이버 범죄에 국가가 연관돼 있음을 시사하는 최초의 사례"라며 "북한이 배후에 있는 것으로 추정된다"고 주장했다. 방글라데시 중앙은행 공격에 사용된 악성코드를 분석한 결과 라자루스라는 그룹이 사용한 코드와 동일했다는 설명이다. 미국은 2014년 소니 해킹 사건 공격자로 지목을 받은 라자루스 그룹의 배후에 북한 정부가 있다고 밝힌 바 있다.

아울러 보고서는 이메일, 랜섬웨어 등 일반으로 쉽게 사용할 수 있는 툴로 공격 효과를 극대화하는 경향이 높아졌다고 분석했다. 이메일 131건 중 1건에서 악성 링크나 첨부 파일이 포함된 것으로 집계됐다. 이는 최근 5년 중 최고치다. 이메일을 활용해 지난 3년간 기업에서 빼낸 금액은 30억 달러(3조 3795억원)에 달하고 매일 400개 이상의 기업이 표적이 되고 있다.

랜섬웨어 공격도 전년 대비 36% 증가했다. 지난 한 해 동안에만 100개 이상의 신규 랜섬웨어가 발견됐다. 랜섬웨어 범죄자들이 평균적으로 요구한 금액은 1077달러(한화 122만원)였고 공격 대상으로 삼은 국가 1위는 미국이었다.


사물인터넷(IoT) 디바이스도 해커들의 표적이 될 공산이 크다는 우려도 내비쳤다. 시만텍 분석에 따르면 지난해 IoT 디바이스에 대한 공격 시도가 2배나 증가했으며 IoT 디바이스가 2분마다 한 번씩 공격을 받는 경우도 감지됐다.

윤광택 시만텍코리아 CTO는 "보안 위협은 정교화되고 전문화되고 있다"며 "사이버 공격 동기와 공격 기법의 달라진 양상으로 인해 우리 사회와 일상에 미치는 영향은 더욱 확대될 수 있다"고 말했다.