방글라데시 중앙은행 해킹 파장! 국내 은행 포함해 전 세계 금융권 확대
해킹에 사용된 악성코드 분석해보니...북한 추정 해커조직 가능성 제기
이슈메이커스랩 “북한 소행 가능성, 은행 측의 철저한 조사 필요”

[보안뉴스 권 준] 방글라데시 중앙은행 사건으로 수면 위에 드러난 해커조직의 과거 범행이 하나둘씩 밝혀지면서 전 세계 금융권이 비상에 걸렸다.


▲ 북한 추정 해커 조직의 SWIFT 메시지 해킹과정 개요도(자료: 이슈메이커스랩)

베트남 티엔퐁 상업은행이 방글라데시 중앙은행과 동일한 수법으로 피해를 당한 사실이 밝혀진 데 이어 은행 공격에 사용된 악성코드에서 국내 대형은행 1곳을 포함한 전 세계 주요 은행 7곳의 국제은행간통신협회(SWIFT) 코드가 발견된 것으로 드러났다.

이번 사건을 분석 중인 사이버전 악성코드 전문추적그룹인 이슈메이커스랩(리더 사이먼 최)에 따르면 2015년 12월 베트남 티엔퐁 상업은행 해킹에 사용된 악성코드에서 SWIFT 코드가 발견된 은행은 총 7곳으로 △KB국민은행(한국) △싱가포르 UOB은행(싱가포르) △호주-뉴질랜드 은행(호주) △미쯔비시도쿄UFJ은행(일본) △미즈호코퍼레이트은행(일본) △중국공상은행(베트남) △유니크레딧 은행(이탈리아) △중국공상은행 뉴욕(미국)이다.

해당 악성코드는 발송자가 앞서 언급한 7개 은행의 특정 조건에 해당할 경우, 인터페이스 화면상의 금액을 조작해 부정거래 사실을 은폐할 수 있는 기능이 포함된 것으로 분석됐다. 이로 인해 다양한 해킹 시나리오가 가능하다.

특히, 해커는 SWIFT 메시지를 조작하는 등의 해킹 방법으로, 특정 은행 계좌에 일정 금액을 송금하고 은행원들이 보는 화면 상에서는 거래상 금액을 변조하는 방법 등으로 이를 은폐하려고 시도했을 수 있다는 것이다.

물론 은행 7곳의 SWIFT 코드가 발견됐다고 해서 해당 은행이 해킹 피해를 입었다는 의미는 아니다. 다만, 해당 은행 7곳이 SWIFT 메시지를 통해 베트남 티엔풍 상업은행의 특정 계좌로 돈을 보냈을 때 해커가 베트남 티엔풍 상업은행의 특정 계좌에서 돈을 빼내 금액을 조작할 수 있기 때문에 면밀한 조사가 필요하다는 게 이슈메이커스랩 측의 설명이다.

SWIFT는 각국의 주요 은행을 묶어 컴퓨터 네트워크를 구성하고, 은행 상호간의 지급·송금업무 등을 위해 데이터 통신을 교환하는 메시징 프로그램을 운용하고 있으며, 세계 각국의 주요 은행마다 고유 코드를 부여받고 있다.

이번 사건이 SWIFT 메시징 프로그램의 취약성을 악용해 결제금액을 조작한 것으로 드러남에 따라 대형은행들은 해당 프로그램을 검사하고 있으며, 최근 JP모건 체이스 은행 등은 SWIFT 시스템 사용을 제한하고 있는 것으로 알려졌다.

악성코드에서 SWIFT 코드가 발견된 KB국민은행 관계자는 “SWIFT망에 연결된 단말기는 인터넷은 물론 은행 내부 PC에 연결되어 있지 않은 폐쇄망으로 되어 있다”며, “이번 사건과 관련해서 조사를 진행한 결과 피해를 입지 않은 것으로 드러났으며, 백신 업데이트와 취약점 점검 등 SWIFT망에 대한 보안관리 조치를 마련해서 시행 중에 있다”고 밝혔다.

이와 관련 이슈메이커스랩의 리더인 사이먼 최는 “이미 방글라데시 중앙은행, 베트남 티엔퐁 상업은행에 사용된 악성코드가 과거 북한의 소행으로 알려진 소니픽처스 해킹, 국내 언론사 공격 당시 악성코드와 매우 유사한 것으로 분석됐다”며, “북한의 소행일 가능성도 배제할 수 없고, 국내 은행이 관련된 이상 철저한 조사가 필요해 보인다”고 밝혔다.

한편, 본지는 지난 16일자 보도에서 해커들이 SWIFT 시스템의 결제 확인 과정을 조작해서 방글라데시 중앙은행과 베트남 은행이 예금을 도난당하는 피해를 입었고, 두 차례의 해킹사건에 사용됐던 악성코드가 2014년 11월 소니픽처스 해킹사건은 물론 2013년 국내 언론사를 공격한 악성코드의 파일 삭제 함수의 진행코드와 유사성이 있다는 이슈메이커스랩의 분석결과를 발표한 바 있다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>