동일한 방식의 공격 일어나 두 번째 은행 피해 입어...베트남 지역인 듯
두 은행 공격했던 멀웨어 분석 결과 소니픽처스 사태 때와 흡사
[보안뉴스 문가용] 방글라데시 중앙은행에서 벌어진 8천 1백만 달러 도난 사건이 어쩌면 앞으로 벌어질 무시무시한 사태의 예고편에 불과한 것일지도 모른다는 일부 전문가들의 불안한 예측이 현실화되고 있다. 비슷한 사태가 또 발생한 것이다. 국제은행간통신협회(SWIFT) 역시 SWIFT 시스템을 악용해 금융을 탈취한 또 다른 사건이 발생했다는 사실을 인정했다.
게다가 방글라데시 중앙은행 사태를 수사 중인 BAE 시스템즈(BAE Systems)는 지난 금요일(한국 시간으로 토요일) 수사 보고서를 발표하며 2014년말 세계 보안 업계를 뒤흔들었던 소니픽처스(Sony Pictures) 사태와 연관성이 있다고 주장했다.
먼저 두 번째 은행 해킹 사건을 보면, 방글라데시 중앙은행 때와 마찬가지로 공격자들은 은행의 전자 결제 시작 과정의 취약점을 악용했다. 이 취약점은 SWIFT 시스템 자체에 있는 것은 아니라고 SWIFT는 재차 강조했다.
보안 전문가들 역시 대부분 공격자들이 SWIFT 시스템의 로그인 정보를 알았기 때문에 공격이 성공한 것이지 SWIFT 시스템의 취약점이 악용된 건 아니라고 보고 있다. 로그인 정보를 파악해 실제로 로그인을 해 네트워크로 침입한 공격자들은 멀웨어를 심어 SWIFT 시스템의 결제 확인 과정을 조작했다. 대부분 이체 기록을 지우는 데에 활용했다. 이 멀웨어는 은행 측에서 이체 과정이 완료 되었음을 확인하기 위해 사용하는 PDF 리더 애플리케이션을 조작한 것으로 나타났다.
SWIFT는 “포렌식 전문가들의 멀웨어 분석 결과 이번에 처음 공개된 멀웨어가 아니”라며 “앞으로 더 광범위하게 벌어질 은행 공격 캠페인이 예상된다”고 발표했다. “공격자들은 은행의 업무 처리 방식 등을 매우 상세하게 알고 있는 것으로 보이며 이는 누군가 내부에서 정보를 흘려보내기에 가능한 것으로 보입니다. 그렇지 않다면 내부 정보를 사전에 훔쳐낸 것이 분명합니다.” 하지만 SWIFT는 두 번째 피해 은행이 어디인지는 아직 공개하지 않고 있다.
하지만 BAE 시스템즈는 “베트남의 한 은행으로 보인다”고 말했다. 현재 BAE 시스템즈가 확보한 멀웨어는 베트남 은행에 맞게 언어 옵션 등이 좀 다르게 설정되어 있긴 하지만 결국 방글라데시 중앙은행 사건 때 발견한 멀웨어와 동일한 것이나 다름없다고 한다. “양쪽 멀웨어 모두에서 독특한 파일 삭제 기능을 발견했습니다. 디스크를 완전히 포맷시켜 버리는 기능이더군요.”
‘디스크를 삭제하는 멀웨어’가 역사상 처음 등장한 건 아니지만 가장 충격적으로 등장했던 건 2014년 말 소니픽처스 해킹 사건 때였다. 조사를 더 해보니 삭제 기능의 코드가 소니픽처스 공격 때 사용되었던 멀웨어와 매우 흡사하다는 걸 알 수 있었다. 물론 BAE 시스템즈는 직접 소니픽처스 사건을 명시하지는 않고 있다. 다만 2014년 말에 해킹을 당한 대형 엔터테인먼트 기업이라고만 표현하고 있다.
파일 삭제 기능 외에도 닮은 점들은 제법 있다. 둘 다 같은 곳에서 철자 오류가 나타나고 있으며 어법이 틀린 부분도 동일하다. 또한 이미 1998년의 개발 환경에서나 사용되었던 비주얼 C++ 6.0이 사용되었다는 점도 같다.
지난 소니픽처스 사태 때 보안 전문가들은 북한의 소행이라는 최종 결론에 도달했다. 물론 100%의 증거는 아직 존재하지 않으므로 확실히 북한이라고 말하지는 못하고 있다. 북한은 과거로부터 미국, 대한민국, 일본, 중국, 대만 등을 끊임없이 공격해온 것으로 알려져 있지만 역시나 100% 확실한 증거가 없다는 사이버 공격의 특성상 누구도 북한을 직접 언급하지는 못하고 있다.
이번 은행 공격 사태에 BAE 시스템즈의 분석처럼 소니픽처스 때의 공격자가 개입한 것이라면 이는 북한이 연루되어 있다는 것과 사실상 동일한 뜻이다. “그게 아니라면 소니픽처스 때 ‘북한’이라고 내린 결론이 매우 성급했던 것이겠죠.” BAE 시스템즈의 조심스러운 발언이다. 그 외에는 소니픽처스 때 사용되었던 공격 키트가 다크웹의 암시장 등에서 널리 판매되고 있다는 가능성도 존재한다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
두 은행 공격했던 멀웨어 분석 결과 소니픽처스 사태 때와 흡사
[보안뉴스 문가용] 방글라데시 중앙은행에서 벌어진 8천 1백만 달러 도난 사건이 어쩌면 앞으로 벌어질 무시무시한 사태의 예고편에 불과한 것일지도 모른다는 일부 전문가들의 불안한 예측이 현실화되고 있다. 비슷한 사태가 또 발생한 것이다. 국제은행간통신협회(SWIFT) 역시 SWIFT 시스템을 악용해 금융을 탈취한 또 다른 사건이 발생했다는 사실을 인정했다.
게다가 방글라데시 중앙은행 사태를 수사 중인 BAE 시스템즈(BAE Systems)는 지난 금요일(한국 시간으로 토요일) 수사 보고서를 발표하며 2014년말 세계 보안 업계를 뒤흔들었던 소니픽처스(Sony Pictures) 사태와 연관성이 있다고 주장했다.
먼저 두 번째 은행 해킹 사건을 보면, 방글라데시 중앙은행 때와 마찬가지로 공격자들은 은행의 전자 결제 시작 과정의 취약점을 악용했다. 이 취약점은 SWIFT 시스템 자체에 있는 것은 아니라고 SWIFT는 재차 강조했다.
보안 전문가들 역시 대부분 공격자들이 SWIFT 시스템의 로그인 정보를 알았기 때문에 공격이 성공한 것이지 SWIFT 시스템의 취약점이 악용된 건 아니라고 보고 있다. 로그인 정보를 파악해 실제로 로그인을 해 네트워크로 침입한 공격자들은 멀웨어를 심어 SWIFT 시스템의 결제 확인 과정을 조작했다. 대부분 이체 기록을 지우는 데에 활용했다. 이 멀웨어는 은행 측에서 이체 과정이 완료 되었음을 확인하기 위해 사용하는 PDF 리더 애플리케이션을 조작한 것으로 나타났다.
SWIFT는 “포렌식 전문가들의 멀웨어 분석 결과 이번에 처음 공개된 멀웨어가 아니”라며 “앞으로 더 광범위하게 벌어질 은행 공격 캠페인이 예상된다”고 발표했다. “공격자들은 은행의 업무 처리 방식 등을 매우 상세하게 알고 있는 것으로 보이며 이는 누군가 내부에서 정보를 흘려보내기에 가능한 것으로 보입니다. 그렇지 않다면 내부 정보를 사전에 훔쳐낸 것이 분명합니다.” 하지만 SWIFT는 두 번째 피해 은행이 어디인지는 아직 공개하지 않고 있다.
하지만 BAE 시스템즈는 “베트남의 한 은행으로 보인다”고 말했다. 현재 BAE 시스템즈가 확보한 멀웨어는 베트남 은행에 맞게 언어 옵션 등이 좀 다르게 설정되어 있긴 하지만 결국 방글라데시 중앙은행 사건 때 발견한 멀웨어와 동일한 것이나 다름없다고 한다. “양쪽 멀웨어 모두에서 독특한 파일 삭제 기능을 발견했습니다. 디스크를 완전히 포맷시켜 버리는 기능이더군요.”
‘디스크를 삭제하는 멀웨어’가 역사상 처음 등장한 건 아니지만 가장 충격적으로 등장했던 건 2014년 말 소니픽처스 해킹 사건 때였다. 조사를 더 해보니 삭제 기능의 코드가 소니픽처스 공격 때 사용되었던 멀웨어와 매우 흡사하다는 걸 알 수 있었다. 물론 BAE 시스템즈는 직접 소니픽처스 사건을 명시하지는 않고 있다. 다만 2014년 말에 해킹을 당한 대형 엔터테인먼트 기업이라고만 표현하고 있다.
파일 삭제 기능 외에도 닮은 점들은 제법 있다. 둘 다 같은 곳에서 철자 오류가 나타나고 있으며 어법이 틀린 부분도 동일하다. 또한 이미 1998년의 개발 환경에서나 사용되었던 비주얼 C++ 6.0이 사용되었다는 점도 같다.
지난 소니픽처스 사태 때 보안 전문가들은 북한의 소행이라는 최종 결론에 도달했다. 물론 100%의 증거는 아직 존재하지 않으므로 확실히 북한이라고 말하지는 못하고 있다. 북한은 과거로부터 미국, 대한민국, 일본, 중국, 대만 등을 끊임없이 공격해온 것으로 알려져 있지만 역시나 100% 확실한 증거가 없다는 사이버 공격의 특성상 누구도 북한을 직접 언급하지는 못하고 있다.
이번 은행 공격 사태에 BAE 시스템즈의 분석처럼 소니픽처스 때의 공격자가 개입한 것이라면 이는 북한이 연루되어 있다는 것과 사실상 동일한 뜻이다. “그게 아니라면 소니픽처스 때 ‘북한’이라고 내린 결론이 매우 성급했던 것이겠죠.” BAE 시스템즈의 조심스러운 발언이다. 그 외에는 소니픽처스 때 사용되었던 공격 키트가 다크웹의 암시장 등에서 널리 판매되고 있다는 가능성도 존재한다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
