[아이뉴스24 김국배기자] 역대 최대 규모의 사이버 강도 사건으로 꼽히는 2016년 방글라데시 중앙은행 해킹 사건은 '1비트(bit) 변조'가 만들어낸 도난 사건으로 조사됐다.
배후로 지목받는 라자루스(Lazarus) 해커 조직은 국제금융전산망(SWIFT·스위프트) 소프트웨어의 구조를 완전히 파악해 단 하나의 비트를 바꿔 내부 보안 검사(무결성 검사)를 무용지물로 전락시켰다. 8천100만 달러 불법 인출이 가능했던 배경이다.
라자루스 조직의 높은 기술(Skill) 수준을 보여주는 단적인 예라는 평가다.
최근 열린 '국제 사이버범죄 대응 심포지움' 참석차 방한한 비탈리 캄룩 카스퍼스키랩 아시아태평양 연구팀장은 지난 30일 기자들과 만나 그 동안 추적해온 라자루스 그룹 활동에 대해 공개했다.
비탈리 캄룩 연구팀장은 "스위프트는 모든 트랜잭션(거래)이 제대로 이뤄졌는지, 빠진 것은 없는지 무결성 체크를 한다"며 "스위프트 시스템을 운영하는 은행의 관리자 PC를 점령한 공격자들이 동작 방식을 보고 이 부분을 건너뛰도록 SW를 패치했다"고 말했다.
이어 "한 비트만 바꾸면 SW가 그렇게 동작하도록 돼 있었다"면서 "이는 SW의 구조를 완전히 파악한 것으로 공격 그룹에 확실히 높은 기술 수준을 가진 해커들이 존재한다는 뜻"이라고 강조했다.
SW의 기능을 모두 파악해 어느 부분까지 변조하면 무결성을 깨트릴 수 있는지 알고 조작했다는 의미다.
북한과 연계된 것으로 추측되는 라자루스는 국가 지원을 받는 해커 조직으로 분석된다. 공격 규모, 역할 분담 등으로 미뤄봤을 때 최소 100명 이상의 대규모 조직일 가능성이 점쳐진다.
파괴적인 공격을 자행해오다 최근엔 금융기관에서 거액의 자금을 빼돌리는 은행 강도 형태의 공격 성향을 띠고 있다. 라자루스의 하위 조직(Unit)인 블루노로프(Blue Noroff)가 금융기관 해킹을 주도하고 있다는 게 카스퍼스키랩 측의 설명이다.
비탈리 팀장은 "라자루스가 '3·20 사이버테러'처럼 사회적 혼란 등을 위한 사이버 공격을 했다면 블루노로프는 완전히 다른 목적의 공격을 하고 있다"며 "불법적으로 돈을 취득하는 사이버 범죄의 형태"라고 말했다.
카스퍼스키랩이 처음부터 블루노로프를 라자루스의 하위 조직으로 본 것은 아니다. 다른 이름에서 보듯 별도로 분류해 조사해오다 기존 라자루스 조직 악성코드와 다수의 유사성이 확인됐다.
악성코드가 한글 운영체제(OS)에서 만들어진 점 등이 실수로 드러나면서 근거 중 하나가 됐다. 악성코드가 영문 OS에서 작성된 것처럼 꾸미려고 전환하는 과정에서 일부 특수문자가 깨지는 것을 공격자가 놓쳤다.
그는 "블루노로프는 백도어를 심는 등 기업에 침투경로를 만들 때 라자루스로 보이는 툴을 쓰고, 거점을 마련한 뒤엔 자기만의 특성이 있는 툴을 이용해 시스템을 공격한다"며 "단독으론 하기 힘들고 라자루스의 지원을 받거나 공격 도구를 공유하는 공조관계로 보고 있다"고 설명했다.
악성코드, 공격 방식 등 라자루스 조직의 특징이 그대로 남아있으면서 의도만이 달라졌다는 것이 그의 얘기다. 흔적을 지우는 데는 블루노로프가 더 능숙하다.
블루노로프는 방글라데시 중앙은행 해킹 이후 동남아시아 지역 은행을 공격했고, 한동안 잠잠하다가 올 1월 폴란드 은행에 해킹 공격을 시도했다. 지난 2년간 19개 국가에 걸쳐 은행, 카지노, 투자회사, 가상화폐 관련 회사 등을 공격중이다.
비탈리 팀장은 "국가 지원을 받는 해커가 은행을 공격한 것이 처음은 아니다"면서도 "(블루노로프처럼) 인텔리전스가 아닌 은행에서 직접 돈을 훔치는 공격은 이례적인 사례"라고 말했다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기