머니테이커, 미국·러시아 등지 은행서 수백만 달러 훔쳐내
카드정보 처리 시스템 공격하면서 은행 내부문서도 빼돌려

[보안뉴스 오다인 기자] 러시아어를 구사하는 사이버 범죄 조직이 미국과 러시아의 20여개 은행에서 2016년 5월부터 수백만 달러를 빼돌려온 것으로 드러났다. 11일 러시아 보안 업체 그룹-IB(Group-IB)는 이 범죄 조직의 다음 타깃이 남미의 금융기관으로 추정된다고 경고했다.


그룹-IB에 따르면, 이른바 ‘머니테이커(MoneyTaker)’라고 불리는 사이버 범죄 조직은 은행 네트워크를 해킹한 뒤 ATM 허위 인출을 유도하도록 카드정보 처리 시스템을 조작하는 수법으로, 미국 캘리포니아, 일리노이, 플로리다 등 10개 주를 포함한 은행들에서 평균 5억 원(500,000달러)씩 훔쳐냈다.

머니테이커는 미국에선 SWIFT와 STAR, 러시아에선 AWS CBR 같은 은행 간 카드정보 처리 시스템을 주로 공략했다. 이들은 피해 은행에서 막대한 양의 문서도 함께 빼돌렸는데, 추후 공격을 위한 준비 작업의 일환으로 추정된다. 관리자 가이드라든지 변경요구서 형식, 내부 규칙과 규정들이 여기에 포함됐다.

또한, 유출된 문서들 중에는 SWIFT 네트워크를 통한 송금과 관련된 것도 있었다. 작년, 북한 출신으로 추정되는 해커들이 전 세계 은행에서 수천만 달러를 훔친 일이 있었다. 이들은 은행 시스템과 SWIFT 네트워크 사이의 인터페이스를 공격함으로써 이 같은 범행을 저지를 수 있었다.

그룹-IB의 공동 설립자이자 인텔리전스 팀장인 드미트리 볼코프(Dmitry Volkov)에 따르면, 머니테이커가 지금까지 탐지를 피할 수 있었던 이유는 그들이 일반에 공개된 툴을 사용해왔기 때문이다. 모두가 이용할 수 있는 툴을 쓸 경우, 누가 공격을 저질렀는지 가리키는 것이 어려워진다.

예컨대, 머니테이커는 메타스플로이트(Metasploit) 침투 테스트 툴을 이용해서 목표 은행 네트워크 내 취약점을 찾거나 공략하는 경향을 띤다. 그리고 일단 네트워크에 침입하고 나면, 역시 메타스플로이트를 이용해 네트워크 전역을 정찰하면서 공격할 만한 다른 취약점이 있는지 또는 권한 상승을 할 수 있는지 등을 확인한다. 머니테이커가 활용해온 수많은 멀웨어들은 파일리스(fileless)이면서 시스템 메모리 안에서만 존재하는 것들이어서 탐지하기가 어렵다. 심지어 일부 경우, 머니테이커는 공격 도중 코드 흐름을 바꾸는 능력까지 나타냈다.

미국과 러시아뿐만 아니라 영국에서도 피해 사례가 하나 발견됐는데, 이처럼 머니테이커가 타깃을 자꾸 바꾸는 것은 해당 공격들의 연관성을 숨기기 위한 전략이었다고도 볼 수 있다고 볼코프는 지적했다. 그는 실제 머니테이커가 기타 지역의 은행도 해킹했을 가능성도 꽤 농후하지만 피해가 지리적으로 분산돼있기 때문에 이들 사례 간 연관성을 파악하는 것이 불가능한 것 같다고 말했다.

그룹-IB는 분석 결과, 머니테이커가 은행 네트워크에 침입한 뒤 카드정보 처리 시스템에 접촉하는 수법을 선호하는 것으로 나타났다고 설명했다. 이런 방식으로 머니테이커 조직원들은 피해 은행에서 합법적인 계좌를 개설할 수 있는 데다 선불 카드를 구매할 수 있었다. 이들은 개설한 계좌를 이용해 은행의 카드정보 처리 네트워크에 접근하고, 인출 및 초과 인출 한도를 높이거나 없앨 수 있었으며, 결과적으로 ATM 허위 인출을 통해 돈을 훔쳐낼 수 있었다.

머니테이커의 무기 중에는 자체적으로 개발한 툴들도 포함돼 있었다. 그 중에는 은행의 움직임을 감시하기 위한 툴도 있었고, 일정한 간격으로 스크린샷을 찍거나 키스트로크를 수집하는 툴도 있었다. 또한, 결제 주문을 검색한 뒤 이를 조작하고 원래 결제 정보를 가짜 정보로 바꿔치기 하는 등 각기 다른 기능으로 설계된 다중의 컴포넌트도 포함돼 있었다. 이 툴은 결제 주문을 허위로 만들어낼 수 있는 모듈을 갖고 있었는데, 이렇게 조작한 뒤에도 은행 측에는 변경 사항이 없는 것처럼 보이게 만들 수 있었다. 그룹-IB에 따르면, 이 툴은 러시아 은행을 공격할 때 쓰였다.

머니테이커는 각 공격에 대해 다른 인프라를 사용하는 경향을 보인다. 예를 들어, 이들은 미국 은행을 공격할 땐 러시아에 호스트된 서버를 사용하고, 러시아 은행을 공격할 땐 반대로 미국에 있는 서버나 장비를 사용하는 것으로 추정된다. 머니테이커는 서버 사용에서도 독특한 특징을 띤다. 이들 서버는 오로지 은행 IP의 화이트리스트에 있는 IP 주소로만 공격 페이로드를 보낸다.

그룹-IB의 국제사업개발이사 니콜라스 팔머(Nicholas Palmer)는 머니테이커가 매우 정교한 조직처럼 보이지만 정부 지원을 받는 해커들 같지는 않다고 말했다. “저희는 이들을 조사하는 데 상당한 시간을 쏟았습니다. 다른 해킹 조직과의 연관성을 찾기 위해 기술적인 지표들을 확인하고 또 반복해서 확인해봤지만 정부 지원 활동으로 의심할 만한 부분은 전혀 나타나지 않았습니다.”

팔머는 은행과 금융기관이 카드정보 처리 서비스 업체와 같은 제3의 중개인과 소통하거나 거래할 때 각별한 주의를 기울여야 한다고 경고했다. 그는 특히 남미의 기관들이 머니테이커의 다음 주요 타깃으로 보인다며 경각심을 가질 것을 주문했다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>