방글라데시 중앙은행에 작업하던 SWIFT 기술자, 보안 규칙 무시
SWIFT는 “근거 없는 주장” - 책임공방 지속돼
[보안뉴스 문가용] 방글라데시 중앙은행에서 역사적인 8천 1백만 달러 도난 사건이 일어나기 석 달 전, 국제은행간통신협회(이하 SWIFT)의 기술자들이 은행에 새로운 취약점을 만들어놨다고 방글라데시 경찰이 로이터 통신을 통해 보도했다.
.jpg)
지난 달 방글라데시 중앙은행의 사건을 조사하던 보안 전문가들은 커스터마이징 된 멀웨어를 은행 내 컴퓨팅 환경에서 발견했다고 발표했다. 해당 멀웨어는 SWIFT에서 배포하는 소프트웨어를 ‘속여’ 사기 행위를 지속해왔다고도 했다. 다만 SWIFT의 취약점을 직접 익스플로잇한 건 아니라고도 선을 그은바 있다. 여기에 방글라데시 경찰은 SWIFT의 플랫폼이 아니라 SWIFT의 근무자들이 빌미를 제공했다고 주장한 것이다.
경찰에 따르면 SWIFT의 기술자들은 새로운 은행 거래 시스템 및 플랫폼을 연결시키는 작업을 했는데 이때 보안 수칙을 꼼꼼하게 따르지 않았다고 한다. 보안 수칙 무시가 “방글라데시 중앙은행의 리스크를 엄청나게 가중시켰다”고 경찰은 주장했다.
또한 SWIFT의 메시징 시스템은 “간단한 암호 입력만으로도 원격에서 접속이 가능할 정도로 활짝 열려 있다”며 “이는 SWIFT의 기술자들이 자신들의 작업을 편하게 하기 위해 그렇게 설정해놓고 그대로 놔두었기 때문”이라고 했다. 뿐만 아니라 사설 LAN을 사용하지도 않았고, USB 포트를 비활성화시키지도 않았으며 업데이트가 되지 않은 네트워크 스위치를 사용했다고 설명을 추가했다.
수사관들은 이러한 ‘수칙을 지키지 않은 행위’들이 ‘알지 못해서’ 일어난 일인지 ‘알고도 무시해서’ 일어난 일인지를 점검하고 있다. 의도적으로 은행을 취약하게 만들어 놓았을 가능성도 염두에 두고 있다고 한다.
이에 SWIFT 측은 ‘근거 없는 주장’이라고 일축했다. “해당 사건의 책임은 SWIFT가 아니라 방글라데시 중앙은행에 있다”며 강력히 반발한 것. 사건의 초점이 방글라데시와 SWIFT 측의 책임공방으로 변질되고 있다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
SWIFT는 “근거 없는 주장” - 책임공방 지속돼
[보안뉴스 문가용] 방글라데시 중앙은행에서 역사적인 8천 1백만 달러 도난 사건이 일어나기 석 달 전, 국제은행간통신협회(이하 SWIFT)의 기술자들이 은행에 새로운 취약점을 만들어놨다고 방글라데시 경찰이 로이터 통신을 통해 보도했다.
지난 달 방글라데시 중앙은행의 사건을 조사하던 보안 전문가들은 커스터마이징 된 멀웨어를 은행 내 컴퓨팅 환경에서 발견했다고 발표했다. 해당 멀웨어는 SWIFT에서 배포하는 소프트웨어를 ‘속여’ 사기 행위를 지속해왔다고도 했다. 다만 SWIFT의 취약점을 직접 익스플로잇한 건 아니라고도 선을 그은바 있다. 여기에 방글라데시 경찰은 SWIFT의 플랫폼이 아니라 SWIFT의 근무자들이 빌미를 제공했다고 주장한 것이다.
경찰에 따르면 SWIFT의 기술자들은 새로운 은행 거래 시스템 및 플랫폼을 연결시키는 작업을 했는데 이때 보안 수칙을 꼼꼼하게 따르지 않았다고 한다. 보안 수칙 무시가 “방글라데시 중앙은행의 리스크를 엄청나게 가중시켰다”고 경찰은 주장했다.
또한 SWIFT의 메시징 시스템은 “간단한 암호 입력만으로도 원격에서 접속이 가능할 정도로 활짝 열려 있다”며 “이는 SWIFT의 기술자들이 자신들의 작업을 편하게 하기 위해 그렇게 설정해놓고 그대로 놔두었기 때문”이라고 했다. 뿐만 아니라 사설 LAN을 사용하지도 않았고, USB 포트를 비활성화시키지도 않았으며 업데이트가 되지 않은 네트워크 스위치를 사용했다고 설명을 추가했다.
수사관들은 이러한 ‘수칙을 지키지 않은 행위’들이 ‘알지 못해서’ 일어난 일인지 ‘알고도 무시해서’ 일어난 일인지를 점검하고 있다. 의도적으로 은행을 취약하게 만들어 놓았을 가능성도 염두에 두고 있다고 한다.
이에 SWIFT 측은 ‘근거 없는 주장’이라고 일축했다. “해당 사건의 책임은 SWIFT가 아니라 방글라데시 중앙은행에 있다”며 강력히 반발한 것. 사건의 초점이 방글라데시와 SWIFT 측의 책임공방으로 변질되고 있다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
