북한과 연결된 해킹 조직 라자루스가 인도 코스모스 은행에서 1350만달러를 해킹했다. 소니픽처스를 해킹했던 라자루스가 돈벌이에 혈안이다. 지난해 방글라데시 중앙은행 해킹 사고 후 세계 은행을 표적한 공격이 끊이지 않는다. 수법이 고도화해 국내 은행도 촉각을 곤두세웠다.
다크리딩은 8월 10일부터 13일 사이 28개국에서 부정 ATM 거래가 발생했다고 보도했다. 국제은행간통신협회 스위프트(SWIFT) 통해 3건의 무단 자금이체가 있었다. 스위프트는 세계 은행이 해외 송금을 위해 사용하는 은행 간 네트워크 시스템이다.
라자루스가 어떻게 은행 네트워크에 침입했는지는 명확치 않다. 보안기업 시큐로닉스에 따르면 라자루스는 주로 공격 대상 기업에 스피어피싱 이메일을 보내 침입한 후 내부에서 측면 이동한다. 라자루스 소행으로 알려진 방글라데시 중앙은행 해킹 때도 해커는 스위프트 소프트웨어를 완벽히 분석했다. 스위프트 소스코드 중 1비트만 바꿔 해킹한 은행과 미국 연방준비은행 간 오가는 거래 장부를 위조했다.
인도 은행 공격은 여기서 한 단계 더 진화했다. 인도 코스모스 협동조합 은행은 설립된 지 111년 됐다. 7개 주에 39개 주요 도시에 지사를 뒀다. 라자루스는 8월 10일부터 11일 사이 은행 내부 사용자 시스템을 해킹해 권한을 탈취했다. 이후 은행 ATM 인프라를 해킹했다.
라자루스는 은행 ATM과 POS에 연결된 중앙 스위치와 코어뱅킹 시스템 연결을 끊거나 다른 쪽으로 연결(리다이렉션)했다. 공격자는 별도 하드웨어를 설치하지 않고 소프트웨어 해킹으로 은행 코어뱅킹 스위치를 마음대로 조정했다.
라자루스는 수백개 은행 계정에서 인출 한도를 늘려 해외 계좌를 통해 현금을 인출할 계획을 세웠다. 라자루스 조직은 450개 복제한 비(non)-EMV 직불 카드를 코스모스 뱅크 계좌와 연결했다. 가짜 직불카드를 만든 것이다. 이를 활용해 1만2000건의 국제 ATM 인출과 2849건의 국내 거래에 성공했다. 이렇게 훔친 돈은 1150만달러다.
라자루스가 코어뱅킹 시스템과 ATM 스위치 연결을 변조했기 때문에 직불카드 인출을 승인하는 데 필요한 메시지와 코드가 은행으로 전동되지 않았다. 카드번호와 상태, PIN 등 일반 점검이 발생하지 않았다. 대신 공격자는 해킹으로 장악한 ATM과 POS 스위치를 이용해 사기 거래를 승인했다.
라자루스는 침입 이틀 후 코스모스 은행 스위프트에 접속해 200만달러를 홍콩 무역회사 계좌로 불법 이체했다. 코스모스 은행 ATM 네트워크 공격 사고는 인출기를 조작해 대량 현금을 빼내는 수법과 다르다. 라자루스는 은행 코어뱅킹 시스템을 직접 공격한 고도화된 해킹을 수행했다.
국내 금융회사 관계자는 “관련 수법이 매우 지능화했는데 위협 정보가 제한적”이라면서 “국내에 가짜 직불카드가 유입됐을 가능성이 있어 예의 주시한다”고 말했다.
김인순 보안 전문기자 insoon@etnews.com