| 브라질 대형 은행 제압해놓고 유유히 털어간 해커들 | 2017.04.05 |
5시간 동안 은행 마비시키고 고객들 정보 빼내가
마비된 은행, 고객들에게 통보조차 할 수 없어 [보안뉴스 문가용 기자] 사이버 범죄자들이 작년 10월 22일, 브라질의 한 대형 은행을 약 5시간 동안 장악했다는 사실이 드러났다. 특히 온라인 뱅킹, 모바일 및 POS, ATM, 투자 거래 등은 완전히 마비되거나 가로채기 당해 은행으로서는 아무 것도 할 수가 없었다고 한다. 공격자들은 합법적인 SSL 디지털 인증서와 구글 클라우드(Google Cloud) 서비스를 활용해 해당 공격을 감행한 것으로 밝혀졌다.  공격자들은 은행이 보유한 도메인 36개를 침해했는데, 이중에는 내부 이메일과 FTP 서버도 포함되어 있었다. 또한 그 5시간 동안 발생했던 모든 전자 거래 내역을 캡쳐하는 데에도 성공했다. 이를 수사한 보안 연구원들은 전 세계 300개 도시에 확산되어 있는 이 은행의 고객의 정보가 수만에서 수백만 건 유출되었을 가능성을 높게 보고 있다. 이들이 주로 노린 것은 크리덴셜이며, 이메일, 연락처, FTP 크리덴셜 등도 같이 수집했다고 한다. 게다가 안티멀웨어 소프트웨어까지도 해제시킬 수 있었다고 한다. 카스퍼스키의 남미 지부 책임자인 드미트리 베스투제프(Dmitry Bestuzhev)는 “공격자들은 먼저 해당 은행의 DNS 제공업체인 Registro.br을 침해해 해당 DNS 계정의 관리자 권한을 탈취하는 데에 성공했다”고 설명한다. “여기서부터 HTTPS 인증서 제공기관인 렛츠인크립트(Let’s Encrypt)를 통해 인증서를 발급받아 실제 은행인 것처럼 위장할 수가 있었죠. 그래서 온라인 고객들이 정상 절차로 로그인을 할 경우 가짜 은행 웹 사이트로 우회되는데, 인증서가 정상이니 경고창이 하나도 뜨지 않게 되었던 것입니다. 동시에 진짜 은행 측은 자신들의 네트워크에 접근조차 못하고 있었고요.” 이 은행은 25조 원의 자산을 보유하고 있으며, 전 세계에 걸쳐 5백만 명의 고객을 두고 있고, 브라질, 아르헨티나, 미국 등에 약 500개의 지점을 운영하고 있다. “은행을 겨냥한 사이버 공격이야 늘 있어왔던 것이지만, 은행의 접근을 전면으로 차단한 채 고객들을 통째로 속여 버리는 일은 없었습니다. 게다가 5시간이나 지속됐죠. 이런 규모의 공격은 들어본 적도 없습니다.” 베스투제프의 설명이다. 아직 카스퍼스키 측은 은행의 정확한 이름은 밝히지 않고 있다. 그런데 실제 공격이 시작된 건 사건 당일인 10월 22일보다 5개월이나 전 시기로 거슬러 올라간다. “아직 공격자들이 DNS 제공업체를 어떻게 공격한 건지는 파악하지 못하고 있습니다. 다만 Registro.br은 1월에 XSS 요청 변조 취약점에 대한 패치를 진행한 바 있습니다. 어쩌면 그 취약점을 공격자들이 오래 전에 발견해 공격을 하고 있었는지도 모르겠습니다. 또 Registro.br 직원들을 겨냥한 피싱 이메일도 다수 발견했는데요, 그 중 누군가가 당했을 수도 있습니다.” Registro.br에 의하면 해당 은행은 Registro.br이 제공하는 2중인증 옵션을 사용하지 않았다고 한다. “그래서 인증 절차에 대한 공격에 취약할 수밖에 없었습니다.” 카스퍼스키의 또 다른 연구원인 파비오 아솔리니(Fabio Assolini)의 설명이다. “이 문제가 해당 브라질 은행만의 것이라고 생각한다면 오산입니다. 아직도 많은 은행들이 이런 류의 공격에 당할 공산이 큽니다.” 그가 이렇게 말하는 건, 위 공격을 통해 피해를 입은 은행 고객들의 기기들에도 멀웨어가 설치되었기 때문이다. 이 멀웨어는 브라질, 영국, 일본, 포르투갈, 이탈리아, 중국, 아르헨티나, 케이맨 제도, 미국에 있는 다른 은행들까지도 노려서 공격하는 기능을 가진 것이었다. 목적은 역시나 계정 권한과 크리덴셜 탈취. “이 멀웨어는 여덟 가지 요소로 이뤄져 있는데, 안티멀웨어 소프트웨어를 비활성화 시키는 것도 포함되어 있습니다. JAR로 작성되어 있었고, 윈도우와 맥 시스템 모두에서 가동이 가능합니다. 탐지율이 매우 낮습니다.” 보통 하나의 은행과만 거래하는 사람이 많지 않으므로, 이 공격으로 피해를 입은 고객이 멀웨어가 설치된 채로 다른 은행과의 거래를 실행하다가 추가 피해가 발생할 수 있는 상황이라는 뜻이다. 브라질의 피해 은행은 다섯 시간 동안 온라인 활동을 할 수가 없었기 때문에 고객들에게 통보를 할 수도 없었다고 한다. “보통 사이버 공격이 ‘날치기’에 가깝다면, 이번 공격은 상대를 제압해놓고 유유히 털어가는, 강도 행위에 가깝습니다. 그런데 제압당한 대상의 덩치가 너무나 큰 게 놀라운 점이죠.” 베스투제프의 말이다. 공격자들은 그렇게 빼낸 정보들을 캐나다의 한 서버로 전송했다고 한다. 중요한 건 이렇게 인터넷의 가장 기본적인 인프라를 노리고 들어오는 공격을 막을 방법이 없다는 것이다. “인터넷이라는 환경 자체의 취약점이라고 볼 수 있는 부분입니다. 게다가 남미 지역의 은행들은 대부분 제3자 DNS 제공업체에게 그 인프라 관리를 맡기고 있죠. 솔직히 남미 지역만의 얘기도 아닙니다. 전 세계 20위 안에 드는 대형 은행들 전부 DNS 제공업체와 파트너십을 맺고 있습니다. 어떤 은행이 이런 공격에 당해도 이상할 것이 없다는 겁니다.” 5시간 후 해당 은행은 다시 DNS 인프라에 대한 통제권을 가져오긴 했지만, 고객들 한 사람 한 사람의 시스템에는 여전히 멀웨어가 남아 있을 가능성이 높다. “그리고 그 멀웨어는 지속적인 공격을 감행하도록 설계된 놈입니다. 쉽게 나타나지 않을 거예요.” 한편 카스퍼스키는 공격자 단체에 대한 정보도 누설하지 않고 있다. 하지만 브라질 출신의 유명 사이버 해킹 단체가 가장 유력해 보인다. “5개월이나 아무 것도 하지 않고 기다렸어요. 그 큰 은행에 들어간 이후에 말이죠. 이거 초보자가 할 만한 행동이 아닙니다.” 카스퍼스키는 대신 멀웨어에 대한 정보는 일부 공개했는데, 그 이름은 Trojan-Downloader.Java.Agent, Trojan.BAT.Starter, not-a-virus:RiskTool.Win32.Deleter, Trojan-Spy.Win32.Agent이라고 한다. [국제부 문가용 기자(globoan@boannews.com)] Copyrighted 2015. UBM-Tech. 117153:0515BC |
|
 |
