사이버 은행 강도 활동이 심상치 않다. 은행 인프라와 프로세스를 분석해 망분리된 시스템까지 침투한다. 2015년 100개 은행이 카바낙 조직에 당한데 이어 올해 초 방글라데시 중앙은행, 최근 영국 테스코뱅크까지 사고가 끊이지 않는다.
최근 한국에 방문한 세르게이 고데이치크 카스퍼스키랩 시큐리티 서비스 CTO는 금융사를 직접 노린 사이버 공격 증가를 경고했다. 전자금융 사용자가 아닌 은행을 직접 공격해 대규모 자금을 이체하는 사고가 늘어날 전망이다.
고데이치크 CTO는 “2015년 사이버 범죄조직 카바낙(Carbanak)은 표적 공격 기법을 사용해 세계 100여개 금융기관에서 10억달러를 훔쳤다”면서 “은행 인프라스트럭처를 분석한 정교한 공격이었다”고 설명했다.
국제 은행 간 자금결제 통신망 `스위프트(SWIFT)`도 해킹됐다. 스위프트는 금융사 회원에 해킹 사실을 알리며 보안 강화를 요구했다. 회원 은행 자체 보안망 덕에 일부 해킹 공격이 저지됐지만 피해는 발생했다. 지난 2월 공격자는 스위프트를 해킹해 방글라데시 중앙은행의 미국 뉴욕 연방준비은행계좌에서 약 8100만달러를 이체했다. 베트남과 필리핀, 에콰도르에서도 유사한 공격이 발생했다.
최근 영국 테스코은행은 해킹으로 2만여 사용자가 출금피해를 입었다. 4만개 계좌가 해킹됐고 2만 여개 계좌에서 불법 인출이 발생했다. 침해사고 조사가 진행 중이다.
고데이치크 CTO는 “2014년 러시아에서 ATM을 해킹해 부정인출한 사건이 발생한 후 비슷한 수법이 지난해 서유럽에서 발견됐으며 올해 대만 사례도 나타났다”면서 “사이버 강도가 악성코드나 범죄 수법을 거래하거나 공유하며 피해를 키운다”고 설명했다.
그는 한국 은행이나 ATM도 직접 공격당할 수 있다고 경고했다. 오래된 운용체계(OS)를 사용하는 ATM 취약성을 지적했다.
그는 “한국을 비롯해 많은 은행 ATM은 윈도XP 등 구형 OS를 쓰며 보안이 취약한 구조”라면서 “ATM은 은행 결제인프라와 통신에 XFS라는 오래된 표준을 사용한다”고 설명했다. 이 표준은 명령어 인증 과정이 없어 보안에 취약하다. 편의점이나 지하철 역사 등에 설치된 일부 ATM은 통신네트워크가 노출되는 사례도 있다.
고데이치크 CTO는 2014년 미국 소니픽처스를 공격한 나자로그룹이 은행 직접 공격도 손을 대기 시작했다고 설명했다. 카스퍼스키랩 조사 결과 나자로그룹은 다양한 공격에 사용한 압축 파일 암호가 같고, 드로퍼 내에 암호가 들어있다. 자동화된 분석 시스템이 압축을 풀어 그 기능을 분석하지 못하도록 구현했다. 분석가는 특이한 암호 보호기능이 나자로 그룹만의 특징이라고 설명했다.
김인순 보안 전문기자 insoon@etnews.com
