방글라데시 중앙은행과 연방준비은행, 기본적인 것 놓쳐
해커는 변해야 하고, 방어자는 기본을 준수해야
▲ 육상 잘 하는 나라가 다른 운동도 잘 한다
[보안뉴스 문가용] 소설이나 헐리웃 영화에서나 일어남직한 사건이 일어나 지금 세계 보안 업계는 난리 중에 있다. 바로 방글라데시 중앙은행 사건이다. 방글라데시와 미국의 은행, 그리고 필리핀으로의 송금 등 조직적이고 일사불란한 대규모 사이버 강도 행위가 더 이상 상상속의 산물만은 아닌 것이 증명되었다. 이 사건을 조금 더 들여다보길 원한다.
사건이 드러나다
2월 4일과 5일, 한 사이버 범죄 단체가 방글라데시 중앙은행으로부터 시스템 로그인 정보를 훔쳐서 8천 1백만 달러를 뉴욕의 연방예비은행의 계좌로부터 필리핀에 있는 여러 개 계좌로 송금하는 일이 발생했다. 방글라데시 중앙은행으로부터 필리핀의 계좌까지 돈이 범인들의 수중에 도달하는 데까지 발생한 온라인 거래는 총 네 번, 이들이 주로 사용한 네트워크는 SWIFT(국제은행간 통신협회)의 지불 네트워크였다.
그나마 다행인 건 독일은행 한 직원의 감이 조금이라도 둔했다면 피해액은 10억 달러에 달했을 것이라는 점. 어떻게 된 일일까? 독일은행은 범인들의 거래 요청서(2천만 달러가 걸려있었다)에서 스리랑카의 기관 이름에 철자 오류가 있다는 걸 발견했다. Foundation이 Fandation이라고 적혀있던 것. 뭔가 수상해서 확인을 요청했고 해당 기관이 존재하지 않는다는 사실을 발견했다. 당연히 거래가 중단됐고, 이를 통해 해당 사건이 수면 위로 드러났다.
연루된 은행 세 군데 중 범죄 확산을 막는 데에 직접 기여한 곳은 딱 한 곳, 독일은행이었다. 그것도 범죄자들이 저지른 아주 사소한 실수를 잘 발견한 덕분에 말이다. 이는 운이 좋았기 때문에라고도 해석이 가능하다. 지금 상황이 이런데, 우리, 은행을 믿어도 되는 것일까? 보안 솔루션 및 서비스를 믿어도 될까?
서로에게 타당한 손가락질
방글라데시 중앙은행은 애초에 미국 연방은행이 알아채고 송금을 막았어야 한다는 입장이다. 보내야 하는 곳이 독일은행이 밝혔듯 존재하지도 않는 유령 조직이었기 때문이다. 그걸 파악하고 사기 경보를 발령하고 수사를 시작했어야 하는 것 아니냐는 주장이다. 또한 연방준비은행이 갖는 거래의 특성상 이번 불법거래가 또 다른 은행으로의 송금 요청이 아니라는 것과 이전에 한 번도 일어나지 않은 거래라는 사실만으로도 충분히 한 번 더 확인했어야 한다고 한다.
그러나 방글라데시 중앙은행이 마냥 억울해할 만한 입장은 아니다. 여러 매체에 나왔듯 방글라데시 중앙은행이 가진 SWIFT 계정의 로그인 정보가 처음부터 도난당했기 때문에 이런 범죄가 성립가능했기 때문이다. 해커들은 은행 네트워크에 수주 전부터 키로거 멀웨어를 심어두었다고 한다. 미국의 연방준비은행으로서는 “해킹을 당한 건 너넨데 왜 우리한테 덮어 씌우려느냐”는 반박이 충분히 가능한 것. 아직 연방준비은행은 공식 발표를 하고 있지는 않지만 대변인을 통해 “연방준비은행은 해킹을 당한 흔적을 발견할 수 없었다”고는 입장표명을 했다. 그 말이 그 말이다. 그리고 양측 다 타당하다.
겹겹이 실패
양측이 타당하다는 건 양측 모두가 정말로 잘못을 했다는 뜻이다. 방글라데시 중앙은행의 주장대로 연방준비은행은 1) 금융기관으로의 송금 요청이 아니었다는 점과 2) 기존에 한 번도 거래가 없었던 곳으로의 송금 요청이라는 점이 겹친다는 것만으로도 의심을 해야만 마땅했다. SWIFT 로그인 정보를 누가 어디서 어떻게 훔쳤던 건 간에 이는 ‘이상 행동 패턴 탐지’의 가장 기본적인 기능이기도 하기 때문이고, 연방준비은행 정도 되는 기관의 보안 수준이라면 기대해도 되는 대응이다. 이렇게 ‘대놓고 수상한’ 거래가 승인되었다는 것 자체가 변명의 여지가 없는 보안에서의 실패다.
로그인 정보 탈취 후 악성 거래 혹은 사기 거래를 행하는 건 현대의 사이버 사기 범죄에서 가장 흔히 나타나는 방식이다. 고로 여러 중요 기관 및 금융 기관들에서 탐지할 수 있어야 한다. 그리고 많은 사기업 및 은행들은 실제로 탐지할 수 있다. 유명하다고 하는 온라인 쇼핑몰에서조차 수상한 환경에서는 거래 승인을 해주지 않는다. 그런 상황에서 세계에서 가장 영향력이 높은 은행이 ‘해킹을 당한 건 우리가 아니다’라고 말하는 건 궁색하기 짝이 없다.
그렇다고 방글라데시 중앙은행 쪽으로 이 공방이 확 기우는 건 아니다. 수주 전부터 멀웨어가 심겨져 있었고, 그걸로 해커들이 로그인 정보를 알아내고 있는데도 이를 발견하지 못했다는 것 역시 금융 기관의 보안 수준으로서는 용납하기 힘든 것이기 때문이다. 게다가 키로거 멀웨어라고 하면 흔하디 흔한 멀웨어다. 키로거로 로그인 정보를 알아낼 정도라면 방글라데시 중앙은행은 아직도 다중인증 방식을 도입하지 않았다는 뜻이 되기도 한다. 어딜 봐도 문제라는 것이며 총체적 난국이라는 것이다.
SWIFT 로그인처럼 중요도가 높은 승인 과정에는 반드시 다중인증 방식이 도입되어야 하고, 실제 이미 다수의 중요 기관들은 다중인증을 곳곳에 도입하고 있다. 키로거와 같은 기본적인 공격에 당하는 건 요즘과 같은 상황에선 차라리 ‘수치’에 가까운 일이다. 중앙은행이라는 타이틀이 붙을 정도라면 최소한 민감한 계좌나 업무의 승인 정도는 다중인증 시스템을 도입해야 마땅했다.
보안의 입장에서 두 은행의 책임전가 공방은 한심하기 짝이 없다. 들여다보면 이처럼 기본 중의 기본을 지키지 못해서 터진 일인데, 창피한 줄도 모르고 손가락질 하기에만 바쁘니 말이다. 한 나라의 중앙은행이, 또 세계의 중앙은행이라고 봐도 되는 중요 은행에서 이런 일이 벌어졌다니, 갑자기 은행에 둔 예치금 생각에 불안불안하다. 보안은 방어자의 입장에서 기본기 싸움이다. 기본이 정말로 중요하다. 그냥 빈 말이나 격언이 아니다.
글 : 존 모이니한(John Moynihan)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
해커는 변해야 하고, 방어자는 기본을 준수해야
▲ 육상 잘 하는 나라가 다른 운동도 잘 한다
[보안뉴스 문가용] 소설이나 헐리웃 영화에서나 일어남직한 사건이 일어나 지금 세계 보안 업계는 난리 중에 있다. 바로 방글라데시 중앙은행 사건이다. 방글라데시와 미국의 은행, 그리고 필리핀으로의 송금 등 조직적이고 일사불란한 대규모 사이버 강도 행위가 더 이상 상상속의 산물만은 아닌 것이 증명되었다. 이 사건을 조금 더 들여다보길 원한다.
사건이 드러나다
2월 4일과 5일, 한 사이버 범죄 단체가 방글라데시 중앙은행으로부터 시스템 로그인 정보를 훔쳐서 8천 1백만 달러를 뉴욕의 연방예비은행의 계좌로부터 필리핀에 있는 여러 개 계좌로 송금하는 일이 발생했다. 방글라데시 중앙은행으로부터 필리핀의 계좌까지 돈이 범인들의 수중에 도달하는 데까지 발생한 온라인 거래는 총 네 번, 이들이 주로 사용한 네트워크는 SWIFT(국제은행간 통신협회)의 지불 네트워크였다.
그나마 다행인 건 독일은행 한 직원의 감이 조금이라도 둔했다면 피해액은 10억 달러에 달했을 것이라는 점. 어떻게 된 일일까? 독일은행은 범인들의 거래 요청서(2천만 달러가 걸려있었다)에서 스리랑카의 기관 이름에 철자 오류가 있다는 걸 발견했다. Foundation이 Fandation이라고 적혀있던 것. 뭔가 수상해서 확인을 요청했고 해당 기관이 존재하지 않는다는 사실을 발견했다. 당연히 거래가 중단됐고, 이를 통해 해당 사건이 수면 위로 드러났다.
연루된 은행 세 군데 중 범죄 확산을 막는 데에 직접 기여한 곳은 딱 한 곳, 독일은행이었다. 그것도 범죄자들이 저지른 아주 사소한 실수를 잘 발견한 덕분에 말이다. 이는 운이 좋았기 때문에라고도 해석이 가능하다. 지금 상황이 이런데, 우리, 은행을 믿어도 되는 것일까? 보안 솔루션 및 서비스를 믿어도 될까?
서로에게 타당한 손가락질
방글라데시 중앙은행은 애초에 미국 연방은행이 알아채고 송금을 막았어야 한다는 입장이다. 보내야 하는 곳이 독일은행이 밝혔듯 존재하지도 않는 유령 조직이었기 때문이다. 그걸 파악하고 사기 경보를 발령하고 수사를 시작했어야 하는 것 아니냐는 주장이다. 또한 연방준비은행이 갖는 거래의 특성상 이번 불법거래가 또 다른 은행으로의 송금 요청이 아니라는 것과 이전에 한 번도 일어나지 않은 거래라는 사실만으로도 충분히 한 번 더 확인했어야 한다고 한다.
그러나 방글라데시 중앙은행이 마냥 억울해할 만한 입장은 아니다. 여러 매체에 나왔듯 방글라데시 중앙은행이 가진 SWIFT 계정의 로그인 정보가 처음부터 도난당했기 때문에 이런 범죄가 성립가능했기 때문이다. 해커들은 은행 네트워크에 수주 전부터 키로거 멀웨어를 심어두었다고 한다. 미국의 연방준비은행으로서는 “해킹을 당한 건 너넨데 왜 우리한테 덮어 씌우려느냐”는 반박이 충분히 가능한 것. 아직 연방준비은행은 공식 발표를 하고 있지는 않지만 대변인을 통해 “연방준비은행은 해킹을 당한 흔적을 발견할 수 없었다”고는 입장표명을 했다. 그 말이 그 말이다. 그리고 양측 다 타당하다.
겹겹이 실패
양측이 타당하다는 건 양측 모두가 정말로 잘못을 했다는 뜻이다. 방글라데시 중앙은행의 주장대로 연방준비은행은 1) 금융기관으로의 송금 요청이 아니었다는 점과 2) 기존에 한 번도 거래가 없었던 곳으로의 송금 요청이라는 점이 겹친다는 것만으로도 의심을 해야만 마땅했다. SWIFT 로그인 정보를 누가 어디서 어떻게 훔쳤던 건 간에 이는 ‘이상 행동 패턴 탐지’의 가장 기본적인 기능이기도 하기 때문이고, 연방준비은행 정도 되는 기관의 보안 수준이라면 기대해도 되는 대응이다. 이렇게 ‘대놓고 수상한’ 거래가 승인되었다는 것 자체가 변명의 여지가 없는 보안에서의 실패다.
로그인 정보 탈취 후 악성 거래 혹은 사기 거래를 행하는 건 현대의 사이버 사기 범죄에서 가장 흔히 나타나는 방식이다. 고로 여러 중요 기관 및 금융 기관들에서 탐지할 수 있어야 한다. 그리고 많은 사기업 및 은행들은 실제로 탐지할 수 있다. 유명하다고 하는 온라인 쇼핑몰에서조차 수상한 환경에서는 거래 승인을 해주지 않는다. 그런 상황에서 세계에서 가장 영향력이 높은 은행이 ‘해킹을 당한 건 우리가 아니다’라고 말하는 건 궁색하기 짝이 없다.
그렇다고 방글라데시 중앙은행 쪽으로 이 공방이 확 기우는 건 아니다. 수주 전부터 멀웨어가 심겨져 있었고, 그걸로 해커들이 로그인 정보를 알아내고 있는데도 이를 발견하지 못했다는 것 역시 금융 기관의 보안 수준으로서는 용납하기 힘든 것이기 때문이다. 게다가 키로거 멀웨어라고 하면 흔하디 흔한 멀웨어다. 키로거로 로그인 정보를 알아낼 정도라면 방글라데시 중앙은행은 아직도 다중인증 방식을 도입하지 않았다는 뜻이 되기도 한다. 어딜 봐도 문제라는 것이며 총체적 난국이라는 것이다.
SWIFT 로그인처럼 중요도가 높은 승인 과정에는 반드시 다중인증 방식이 도입되어야 하고, 실제 이미 다수의 중요 기관들은 다중인증을 곳곳에 도입하고 있다. 키로거와 같은 기본적인 공격에 당하는 건 요즘과 같은 상황에선 차라리 ‘수치’에 가까운 일이다. 중앙은행이라는 타이틀이 붙을 정도라면 최소한 민감한 계좌나 업무의 승인 정도는 다중인증 시스템을 도입해야 마땅했다.
보안의 입장에서 두 은행의 책임전가 공방은 한심하기 짝이 없다. 들여다보면 이처럼 기본 중의 기본을 지키지 못해서 터진 일인데, 창피한 줄도 모르고 손가락질 하기에만 바쁘니 말이다. 한 나라의 중앙은행이, 또 세계의 중앙은행이라고 봐도 되는 중요 은행에서 이런 일이 벌어졌다니, 갑자기 은행에 둔 예치금 생각에 불안불안하다. 보안은 방어자의 입장에서 기본기 싸움이다. 기본이 정말로 중요하다. 그냥 빈 말이나 격언이 아니다.
글 : 존 모이니한(John Moynihan)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
