시티뱅크의 전화 전신 송금 시스템, 한 인물이 농락한 사건
현대에 그런 일이 또 발생한다면? 돈보다 더 많은 것 잃게 될 것
[보안뉴스 문가용 기자] 25년 전 은행 업계는 큰 사건을 겪었다. 오늘 날의 보안 사고를 일찌감치 겪으며 디지털 시대가 왔음을 온 몸으로 실감한 것이다. 당시 은행은 사업적 효율을 높인다며 은행 직원들을 ATM 등의 전자 기기로 대거 대체하던 때였다. 그러던 와중에 발생한 시티뱅크(Citibank) 해킹 사건은 역사에 처음 등장한 ‘대규모 사이버 범죄 사건’이었다.
[이미지 = iclickart]
1994년 블라드미르 레빈(Vladimir Levin)이라는 인물은 시티뱅크를 속여 전화 전신 송금 서비스를 통해 대기업 고객사들의 계정에 접근하는 데 성공했다. 그렇게 함으로써 1천만 달러를 훔쳐냈고, 핀란드, 미국, 네덜란드, 독일, 이스라엘에 만든 계좌들로 나눠서 송금했다. 다행히 그는 체포됐고, 시티뱅크도 돈의 대부분을 회수할 수 있었다. 그러나 이 사건은 대서특필되기에 충분한 사건이었다.
돈의 측면에서는 실패 사례로 꼽힐 수 있지만, 전자 금융 시스템을 침투했다는 측면에서 이는 최초의 사건이라고 분류된다. 그런 상징성 때문에 당시 세계는 경악했고, 많은 이들의 관심을 사로잡았다. 당시 10대였던 필자 역시 기사를 읽고 온갖 궁금증에 빠져들었던 기억이 있다. 필자가 사이버 보안 분야에서 일하게 된 것은 우연이 아니다.
당시 어렸던 난 ‘어떻게 그렇게 간단해 보이는 방법으로 그 복잡하고 두터운 시스템을 뚫어낼 수 있었을까?’라는 문제를 해결할 수가 없었다. 95년 LA 타임즈는 그 사건에 대해 “전자 거래 시스템에 대한 의존도를 높여가는 현대 은행들의 거대한 취약점”이라는 내용을 보도했었다. 그러면서 “경비를 줄이기 위한 은행들의 노력은, 또 다른 위험을 가져다주었다”는 비판적인 내용도 담았던 기억이 있다.
그런데 25년이 지났어도 이러한 현상에 대한 발전은 전혀 없다. 지금 우리가 처한 상황 역시 당시의 시티뱅크와 같다.
당시 제일 먼저 나를 놀라게 했던 건 은행에 직접 가지 않아도 돈을 인출할 수 있다는 것이었다. 범인은 지문 같은 것도 전혀 남기지 않고, 그 거대하고 완벽해 보이는 시스템을 뚫어낸 것이다. 90년대와 2000년대는 인터넷이 폭발적으로 보급되던 때로, ‘인터넷’이란 말만 들어도 묘하게 설레는 느낌을 갖게 되곤 했다. 당연히 기대에 찬 전망들이 각계각층에서 나왔고, 모두가 WWW의 강림을 기대하고 있었다.
하지만 그 인터넷이란 기술은 처음부터 보안이라는 개념을 장착하고 있지 않았다. 학계에서, 연구를 촉진시키기 위해 만든 플랫폼이었기 때문에 신뢰와 공유 정신과 때론 무지해 보이는 탐험 정신까지 넘쳐나는 게 인터넷이었다.
그리고 25년을 앞으로 돌려 오늘날을 들여다보자. 그때부터 시작된 디지털화의 물결은 지금의 ‘디지털 세상’을 만들었다. 이제는 은행에 갈 일이 거의 없으며, 그러면서도 어지간한 금전거래는 다 할 수 있다. 오히려 은행에 가서 직접 돈을 인출해오는 사람에게 놀라는 시대다. 하지만 여전히 은행이라는 거대한 벽을 뚫어내는 시도는 자꾸만 이뤄지고 있으며, 성공 사례도 적지 않다.
물론 전화로 하는 은행 시스템을 뚫는 게 요즘 해커들의 목적은 아니다. 그때와 비교가 안 될 만큼 탄탄한 장치들로 우리는 무장되어 있다. 하지만 공격자들 편에서도 발전이 없지 않았다. 정부가 자원을 투자해 사이버 범죄자들을 육성하고 있기도 하며, 사람처럼 행동하는 봇들이 등장하는가 하면, 그 당시 기준 슈퍼컴퓨터를 아득히 능가하는 컴퓨터들이 흔하게 사용되고 있다. 그때와 지금의 차이를 좀 더 분명하게 정리하자면 다음과 같다.
1) 확장성 : 범죄의 스케일이 달라졌다. 예전에는 침투할 만한 은행 수천 곳과 디지털적인 도구와 방법으로 실제 침투에 성공할 만한 기술을 가진 사람이 소수 존재하는 구도였다. 요즘 사이버 범죄자들은 굳이 은행만 노리려고 하지 않는다. 이제 정부 기관과 대기업들도 공격 표적이다. 아니면 공격에 필요한 해킹 도구를 판매하거나 대여함으로써 돈을 벌 수도 있다. 은행에만 돈이 있고, 그 방어막을 뚫어야만 해킹 범죄로 이윤을 남길 수 있는 시대가 아닌 것이다.
2) 변화의 속도 : 산업 혁명에까지 오는 데에는 길고 긴 시간이 필요했다. 하지만 거기서부터 디지털 혁명에 도달하는 데까지는 얼마 걸리지 않았다. 산업 혁명으로 인한 변화의 속도도 빨랐다고 하는데, 지금 우리가 겪고 있는 변화의 속도와는 비교할 수가 없다. 특히 금융 업계의 진화 속도 혹은 신기술 도입 속도는 대단히 빠르다. 변화는 그 속성 자체가 위험을 수반한다. 빠른 변화라면 더 많은 위험을 동반할 수밖에 없다. 변화의 속도에 따라 얻는 것보다 위험을 통해 잃는 게 더 많아질 수도 있다. 그러니 위험을 방어하거나 분석하는 입장에 있는 사람들이라면 - CISO라거나 - 이런 변화의 속도라는 것도 전략적 변수로서 고려해야만 한다. 그것이 추상적이더라도 말이다.
3) 디지털 신원 : 24~5년 전에는 디지털 신원이라는 개념이 존재하지 않았거나, 있었더라도 매우 희미했다. 하지만 지금은 어떤가? 수많은 사이트들에 디지털 신원이 넘쳐난다. 신원 관리만을 전문으로 하는 솔루션이 나올 정도다. 페이스북은 어떤가? 전 세계 인구의 1/3이 여기에 신원 등록을 한 상태다. 페이스북에 로그인 하기 위해 사용하는 비밀번호와 ID는 다른 수백~수천만 개의 사이트에서도 동일하게 사용된다. 이 크리덴셜만 확보할 수 있다면, 누구나 타인이 될 수 있다.
이런 상황에서 우리는 ‘21세기 버전의 시티뱅크 사태’를 어떻게 막아야 할까? 보다 통합적이고 종합적인 해결책이 필요하다. 산업 내 모든 조직들의 공유 체제 그 이상이 필요한 것이다. 정책과 프레임워크는 방어에 대한 대략적인 가이드라인을 제공한다. 또한 많은 사람들이 참여할 수 있는 토론에서 중심을 잡아주는 역할을 하기도 한다. 하지만 정책이나 프레임워크의 단점은 변화나 적응이 매우 느리다는 것이다. 위협 요소는 빠르게 진화하는데, 그에 맞서는 정책이 결정되는 건 한참 후의 일이다. 보안 책임자에게 있어 이는 ‘최신화된 공격’은 물론 ‘최신화된 툴’에 대한 꾸준한 지식 습득이 반드시 필요하다는 뜻이 된다.
적응력이 뛰어난 곳 중 하나가 바로 금융 산업이다. 금융 조직들은 이런 위험천만한 시대에 전략적 파트너십이라는 방법을 추구하고 있다. 주로 금융 관련 기술 기업들과 은행들 사이에서 이런 약속들이 이뤄지고 있다. 은행은 역사적으로 안전과 규정 준수 문제의 전문가들이다. 반면 기술 기업들(핀테크 기업들)은 새로운 시대에 맞는 조치와 방법론들을 제공할 수 있다. 역사적 안전 및 보안 강자에게 새로운 개념을 장착시키는 게 바로 이 파트너십의 목적이다.
현재 ‘무엇을 보호해야 하는가’와 ‘누구로부터 보호해야 하는가’에 대한 답이 빠르게 달라지고 있다. 그렇기 때문에 혼란이 오고 있고, 방어 체계가 중구난방인 건데, 이는 지금 모든 조직들이 겪고 있는 어려움이다. 이런 와중에 은행들이 체결하고 있는 파트너십은 어느 정도 해답을 제공해주고 있는 것으로 보인다. 그래서 이 공격의 순환고리 내에서 은행들이 비교적 빠르게 대응하고 있는 것이다. 보안의 최신 트렌드가 궁금하면, 은행 쪽을 알아보면 된다는 게 과장된 말이 아니다.
시간이 가면서 ‘디지털 자산’에 대한 우리의 이해도는 높아지고 있다. 그러나 이것이 곧바로 ‘방어법에 대한 이해’로 이어지지는 않는다. 그렇기 때문에 지금 이 순간에도 금융 기관들은 공격을 받고 있고, 심지어 돈을 잃고 있는 중이기도 하다. 불행히도 그런 순간에도 사이버 범죄 시장은 점점 더 커지고 있으며, 기술은 더 빨리 바뀌고 있고, 위험 요소는 꾸준히 업그레이드되고 있다. 그 때는 돈만 잃는 게 전부였는데, 요즘은 사생활까지 전부 잃을 수 있다. 그래서 요즘의 은행 공격은 그 파장이 훨씬 크다.
보안이 떠받치고 있는 건 은행의 그 육중한 금고만이 아니다. 사회 구성원들과 현대 경제 시스템을 떠받치고 있는 시스템도 우리가 보호해야 할 대상들이다. 그 때의 그 시티뱅크 사건이 현대화 되어 다시 나타난다면, 우린 돈을 회수하는 데 성공할지는 몰라도 이미 더 많은 것을 잃은 후일 수도 있다.
3줄 요약
1. 94년에 발생한 최초의 디지털 은행털이 사건. 시티뱅크에서 사라진 1천만 달러.
2. 요즘은 단순히 돈 잃는 데서만 그치지 않고, 은행 고객의 개인정보와 경제 시스템 전체에 대한 신뢰에도 영향이 있음.
3. 은행권 CISO라면 규정 기다리지 말고 스스로 최신 트렌드 학습해야만 함.
글 : 지아 하야트(Zia Hayat), Callsign
[국제부 문가용 기자(globoan@boannews.com)]
현대에 그런 일이 또 발생한다면? 돈보다 더 많은 것 잃게 될 것
[보안뉴스 문가용 기자] 25년 전 은행 업계는 큰 사건을 겪었다. 오늘 날의 보안 사고를 일찌감치 겪으며 디지털 시대가 왔음을 온 몸으로 실감한 것이다. 당시 은행은 사업적 효율을 높인다며 은행 직원들을 ATM 등의 전자 기기로 대거 대체하던 때였다. 그러던 와중에 발생한 시티뱅크(Citibank) 해킹 사건은 역사에 처음 등장한 ‘대규모 사이버 범죄 사건’이었다.
[이미지 = iclickart]
1994년 블라드미르 레빈(Vladimir Levin)이라는 인물은 시티뱅크를 속여 전화 전신 송금 서비스를 통해 대기업 고객사들의 계정에 접근하는 데 성공했다. 그렇게 함으로써 1천만 달러를 훔쳐냈고, 핀란드, 미국, 네덜란드, 독일, 이스라엘에 만든 계좌들로 나눠서 송금했다. 다행히 그는 체포됐고, 시티뱅크도 돈의 대부분을 회수할 수 있었다. 그러나 이 사건은 대서특필되기에 충분한 사건이었다.
돈의 측면에서는 실패 사례로 꼽힐 수 있지만, 전자 금융 시스템을 침투했다는 측면에서 이는 최초의 사건이라고 분류된다. 그런 상징성 때문에 당시 세계는 경악했고, 많은 이들의 관심을 사로잡았다. 당시 10대였던 필자 역시 기사를 읽고 온갖 궁금증에 빠져들었던 기억이 있다. 필자가 사이버 보안 분야에서 일하게 된 것은 우연이 아니다.
당시 어렸던 난 ‘어떻게 그렇게 간단해 보이는 방법으로 그 복잡하고 두터운 시스템을 뚫어낼 수 있었을까?’라는 문제를 해결할 수가 없었다. 95년 LA 타임즈는 그 사건에 대해 “전자 거래 시스템에 대한 의존도를 높여가는 현대 은행들의 거대한 취약점”이라는 내용을 보도했었다. 그러면서 “경비를 줄이기 위한 은행들의 노력은, 또 다른 위험을 가져다주었다”는 비판적인 내용도 담았던 기억이 있다.
그런데 25년이 지났어도 이러한 현상에 대한 발전은 전혀 없다. 지금 우리가 처한 상황 역시 당시의 시티뱅크와 같다.
당시 제일 먼저 나를 놀라게 했던 건 은행에 직접 가지 않아도 돈을 인출할 수 있다는 것이었다. 범인은 지문 같은 것도 전혀 남기지 않고, 그 거대하고 완벽해 보이는 시스템을 뚫어낸 것이다. 90년대와 2000년대는 인터넷이 폭발적으로 보급되던 때로, ‘인터넷’이란 말만 들어도 묘하게 설레는 느낌을 갖게 되곤 했다. 당연히 기대에 찬 전망들이 각계각층에서 나왔고, 모두가 WWW의 강림을 기대하고 있었다.
하지만 그 인터넷이란 기술은 처음부터 보안이라는 개념을 장착하고 있지 않았다. 학계에서, 연구를 촉진시키기 위해 만든 플랫폼이었기 때문에 신뢰와 공유 정신과 때론 무지해 보이는 탐험 정신까지 넘쳐나는 게 인터넷이었다.
그리고 25년을 앞으로 돌려 오늘날을 들여다보자. 그때부터 시작된 디지털화의 물결은 지금의 ‘디지털 세상’을 만들었다. 이제는 은행에 갈 일이 거의 없으며, 그러면서도 어지간한 금전거래는 다 할 수 있다. 오히려 은행에 가서 직접 돈을 인출해오는 사람에게 놀라는 시대다. 하지만 여전히 은행이라는 거대한 벽을 뚫어내는 시도는 자꾸만 이뤄지고 있으며, 성공 사례도 적지 않다.
물론 전화로 하는 은행 시스템을 뚫는 게 요즘 해커들의 목적은 아니다. 그때와 비교가 안 될 만큼 탄탄한 장치들로 우리는 무장되어 있다. 하지만 공격자들 편에서도 발전이 없지 않았다. 정부가 자원을 투자해 사이버 범죄자들을 육성하고 있기도 하며, 사람처럼 행동하는 봇들이 등장하는가 하면, 그 당시 기준 슈퍼컴퓨터를 아득히 능가하는 컴퓨터들이 흔하게 사용되고 있다. 그때와 지금의 차이를 좀 더 분명하게 정리하자면 다음과 같다.
1) 확장성 : 범죄의 스케일이 달라졌다. 예전에는 침투할 만한 은행 수천 곳과 디지털적인 도구와 방법으로 실제 침투에 성공할 만한 기술을 가진 사람이 소수 존재하는 구도였다. 요즘 사이버 범죄자들은 굳이 은행만 노리려고 하지 않는다. 이제 정부 기관과 대기업들도 공격 표적이다. 아니면 공격에 필요한 해킹 도구를 판매하거나 대여함으로써 돈을 벌 수도 있다. 은행에만 돈이 있고, 그 방어막을 뚫어야만 해킹 범죄로 이윤을 남길 수 있는 시대가 아닌 것이다.
2) 변화의 속도 : 산업 혁명에까지 오는 데에는 길고 긴 시간이 필요했다. 하지만 거기서부터 디지털 혁명에 도달하는 데까지는 얼마 걸리지 않았다. 산업 혁명으로 인한 변화의 속도도 빨랐다고 하는데, 지금 우리가 겪고 있는 변화의 속도와는 비교할 수가 없다. 특히 금융 업계의 진화 속도 혹은 신기술 도입 속도는 대단히 빠르다. 변화는 그 속성 자체가 위험을 수반한다. 빠른 변화라면 더 많은 위험을 동반할 수밖에 없다. 변화의 속도에 따라 얻는 것보다 위험을 통해 잃는 게 더 많아질 수도 있다. 그러니 위험을 방어하거나 분석하는 입장에 있는 사람들이라면 - CISO라거나 - 이런 변화의 속도라는 것도 전략적 변수로서 고려해야만 한다. 그것이 추상적이더라도 말이다.
3) 디지털 신원 : 24~5년 전에는 디지털 신원이라는 개념이 존재하지 않았거나, 있었더라도 매우 희미했다. 하지만 지금은 어떤가? 수많은 사이트들에 디지털 신원이 넘쳐난다. 신원 관리만을 전문으로 하는 솔루션이 나올 정도다. 페이스북은 어떤가? 전 세계 인구의 1/3이 여기에 신원 등록을 한 상태다. 페이스북에 로그인 하기 위해 사용하는 비밀번호와 ID는 다른 수백~수천만 개의 사이트에서도 동일하게 사용된다. 이 크리덴셜만 확보할 수 있다면, 누구나 타인이 될 수 있다.
이런 상황에서 우리는 ‘21세기 버전의 시티뱅크 사태’를 어떻게 막아야 할까? 보다 통합적이고 종합적인 해결책이 필요하다. 산업 내 모든 조직들의 공유 체제 그 이상이 필요한 것이다. 정책과 프레임워크는 방어에 대한 대략적인 가이드라인을 제공한다. 또한 많은 사람들이 참여할 수 있는 토론에서 중심을 잡아주는 역할을 하기도 한다. 하지만 정책이나 프레임워크의 단점은 변화나 적응이 매우 느리다는 것이다. 위협 요소는 빠르게 진화하는데, 그에 맞서는 정책이 결정되는 건 한참 후의 일이다. 보안 책임자에게 있어 이는 ‘최신화된 공격’은 물론 ‘최신화된 툴’에 대한 꾸준한 지식 습득이 반드시 필요하다는 뜻이 된다.
적응력이 뛰어난 곳 중 하나가 바로 금융 산업이다. 금융 조직들은 이런 위험천만한 시대에 전략적 파트너십이라는 방법을 추구하고 있다. 주로 금융 관련 기술 기업들과 은행들 사이에서 이런 약속들이 이뤄지고 있다. 은행은 역사적으로 안전과 규정 준수 문제의 전문가들이다. 반면 기술 기업들(핀테크 기업들)은 새로운 시대에 맞는 조치와 방법론들을 제공할 수 있다. 역사적 안전 및 보안 강자에게 새로운 개념을 장착시키는 게 바로 이 파트너십의 목적이다.
현재 ‘무엇을 보호해야 하는가’와 ‘누구로부터 보호해야 하는가’에 대한 답이 빠르게 달라지고 있다. 그렇기 때문에 혼란이 오고 있고, 방어 체계가 중구난방인 건데, 이는 지금 모든 조직들이 겪고 있는 어려움이다. 이런 와중에 은행들이 체결하고 있는 파트너십은 어느 정도 해답을 제공해주고 있는 것으로 보인다. 그래서 이 공격의 순환고리 내에서 은행들이 비교적 빠르게 대응하고 있는 것이다. 보안의 최신 트렌드가 궁금하면, 은행 쪽을 알아보면 된다는 게 과장된 말이 아니다.
시간이 가면서 ‘디지털 자산’에 대한 우리의 이해도는 높아지고 있다. 그러나 이것이 곧바로 ‘방어법에 대한 이해’로 이어지지는 않는다. 그렇기 때문에 지금 이 순간에도 금융 기관들은 공격을 받고 있고, 심지어 돈을 잃고 있는 중이기도 하다. 불행히도 그런 순간에도 사이버 범죄 시장은 점점 더 커지고 있으며, 기술은 더 빨리 바뀌고 있고, 위험 요소는 꾸준히 업그레이드되고 있다. 그 때는 돈만 잃는 게 전부였는데, 요즘은 사생활까지 전부 잃을 수 있다. 그래서 요즘의 은행 공격은 그 파장이 훨씬 크다.
보안이 떠받치고 있는 건 은행의 그 육중한 금고만이 아니다. 사회 구성원들과 현대 경제 시스템을 떠받치고 있는 시스템도 우리가 보호해야 할 대상들이다. 그 때의 그 시티뱅크 사건이 현대화 되어 다시 나타난다면, 우린 돈을 회수하는 데 성공할지는 몰라도 이미 더 많은 것을 잃은 후일 수도 있다.
3줄 요약
1. 94년에 발생한 최초의 디지털 은행털이 사건. 시티뱅크에서 사라진 1천만 달러.
2. 요즘은 단순히 돈 잃는 데서만 그치지 않고, 은행 고객의 개인정보와 경제 시스템 전체에 대한 신뢰에도 영향이 있음.
3. 은행권 CISO라면 규정 기다리지 말고 스스로 최신 트렌드 학습해야만 함.
글 : 지아 하야트(Zia Hayat), Callsign
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
