• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

물리적인 작전과 사이버 해킹 기술 혼합한 동유럽 은행털이 2017.10.17

각종 운반책들 고용해 여러 도시에서 운영...추적에 혼선 가져다 줘
은행과 카드 처리 방식의 취약점 노려...멀웨어 사용은 최대한 자제

[보안뉴스 문가용 기자] 동유럽 은행들로부터 수백만 달러를 탈취한 데 성공한 사이버 공격자들은 평범한 시민들을 꼬드겨 계좌를 개설하도록 하고 직불카드를 발급받도록 하는 것부터 범행을 시작한다는 사실이 밝혀졌다. 이러한 ‘평범한 시민들’은 ‘운반책’이라고도 불리는데, 이들은 사이버 공격자 혹은 범죄 조직이 제공한 가짜 문서를 들고 은행을 방문해 계좌를 만드는 대신 대가를 받았다.

[이미지 = iclickart]


조직은 다양한 장소에서 이러한 사람들을 포섭하여 활동하도록 했으며, 운반책들은 여러 곳의 ATM에서 다른 운반책들이 만든 계좌로부터 돈을 인출해서 추적에 큰 혼란을 가져오기도 했다. 현재 이러한 운반책들의 배후에 있는 범죄 조직들은 동유럽 은행 다섯 군데와 아프리카 은행 한 군데에 3백만 달러에서 천만 달러에 이르는 피해를 안겼다.

이러한 은행털이를 치밀하게 계획하고 실행한 건 동유럽의 한 범죄 조직인 것으로 보인다. 이들이 보인 전략의 핵심은 물리적 사기술과 디지털 사기술을 모두 혼합했다는 것이다. 이 조직원들이 운반책에게 넘겨준 가짜 문서들을 통해 스피어피싱이 시작됐고, 스피어피싱 공격의 표적은 직급이 낮은 은행 직원이 보유하고 있는 사내 계정들이었다. 계정에 접근 성공한 범죄자들은 결국 관리자 권한을 가지고 있는 은행 직원의 계정까지 침해했다. 이는 올해 초 ATM 기기에서 수상한 인출 흔적을 추적하던 보안 업체 트러스트웨이브(Trustwave)가 찾아낸 결과물이다.

트러스트웨이브는 “유럽, 북미, 아시아, 호주 지역에 있는 금융 기관들에 비슷한 공격이 이어질 것으로 보인다”고 경고했으며, 그 시점은 “내년부터 눈에 띌 것으로 예상”한다고 밝혔다. 동유럽 은행만 조심하면 될 것 아니냐는 질문에 트러스트웨이브의 부회장인 브라이언 후세이(Brian Hussey)는 “공격 방법을 분석해본 결과 어느 나라에서나 통할 법했기 때문”이라고 말했다.

“사이버 범죄자들은 피해 단체로부터 한 달 동안 약 4GB에 달하는 정보를 훔쳐냈습니다. 도메인, 관리자 크리덴셜, 지불 과정 처리 업체에 대한 접근 권한까지 전부 가져간 것이죠.” 트러스트웨이브는 이들의 공격 수법을 단계별로 요약해 정리했다. “먼저 1) 운반책들을 포섭해 은행 계좌를 새롭게 만들라고 합니다. 2) 그 과정에서 직불카드도 새롭게 발급받습니다. 3) 그런 후 은행 네트워크에 대한 비승인 접근을 성공시키고, 4) 서드파티 네트워크에까지 침범합니다. 5) 그런 후 카드 관리 시스템에 대한 비승인 접근을 시도하고, 6) 특정 계좌에 대한 당좌대월을 활성화시킵니다. 7) 여러 도시와 지역에서 운반책을 시켜 돈을 인출합니다. 1)번과 7)번은 물리적인 방법을 동원한 것이고, 나머지는 사이버 사기술이나 해킹 기술을 활용한 것입니다.”

당좌예금을 운반책들이 새롭게 만든 직불카드 계좌로 송금하려면 은행 직원의 계정에 접근할 수 있어야 한다. 그럴 경우 직불카드 계좌를 신용카드 계좌로 변환시키는 것도 가능해 잔고 이상의 돈을 인출할 수도 있었다. 범죄자들은 이를 놓치지 않았다. 그래서 계정 접근에 성공했다면 거의 어김없이 평범한 직불카드의 등급을 올려 많은 돈을 인출하는 데 성공했다고 한다. 후세이는 “한 카드에서 많게는 3만 달러까지 인출했던 것으로 보인다”고 설명했다.

“은행과 금융기관의 CCTV 영상을 보고 있자면 이 범죄 조직이 매우 치밀하게 작업했다는 걸 알 수 있습니다. 필요한 때 누군가 반드시 나타나 돈을 인출해가고, 최대한 많은 지역의 다양한 ATM 기기에서 돈을 빨리 빼내갔거든요.” 하지만 아직 트러스트웨이브에게 증거가 부족해 특정 단체의 이름을 대기는 어려운 상태다. 그러나 업계는 카르바낙(Carbanak)이라고도 알려져 있는 FIN7을 의심하고 있다.

트러스트웨이브는 범죄조직 측에서 금융 시스템과 카드 사용 구조를 깊이 이해하고 있는 것 같다고 추측한다. “핵심이 되는 뱅킹 시스템과 카드 관리 소프트웨어가 통합되지 않은 게 보통입니다. 그러니까 사기나 수상한 행위에 대한 경보가 발생하지 않는 것이죠. 범죄자들이 이 허점을 파고든 것입니다.” 사용자 인증 통제 장치가 취약하다는 것도 이들이 공략한 부분이다. “은행 직원 한 명이 직불카드 계정의 상태나 권한을 요청하고 또 승인할 수 있게 되어 있었습니다. 관리자 권한을 훔치는 것도 그리 어려운 일이 아니었고요.”

은행털이 과정 중 대단한 멀웨어가 활용된 것도 아니었다. “이 범죄자들은 네트워크 스캐너나 관리자 툴 등 평범한 보안 담당자나 IT 근무자들이 사용하는 툴들을 사용한 것으로 보입니다. 최대한 멀웨어를 사용하지 않게끔 작전을 짠 것처럼도 보일 정도입니다. 멀웨어를 사용하면 아무래도 발각되기가 쉬우니까요.”

트러스트웨이브는 동유럽 금융기관에서 발생한 피해 사례를 조사하며 동일한 수법이 매번 발견되는 걸 바탕으로 “동일한 조직이 일련의 공격을 저지른 것”이라고 결론을 내렸다. “아마 아직 침해 사실을 모르고 있는, 잠정적인 피해 은행들이 더 있을 겁니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>