2013년부터 공개된 그룹...총 12억 달러 훔쳐
보안 전문가 대부분 “조직 리더 체포했다고 큰 변화 없을 것”

[보안뉴스 문가용 기자] 스페인 경찰은 사이버 범죄 단체인 카르바낙(Carbanak)의 리더를 체포했다고 발표했다. 카르바낙은 약 40개국 100개 은행에서 12억 달러를 훔친 것으로 알려졌다.


가장 중요한 문제는 “리더를 체포한 것으로 카르바낙을 완전히 와해시킬 수 있는가?”이다. 보안 업체 트러스트웨이브(Trustwave)의 사이버 탐지 부문 부회장인 브라이언 후세이(Brian Hussey)는 “많은 사이버 범죄 단체들은 여러 개의 머리를 가지고 있다는 걸 우린 봐왔다”고 말하며 어디선가 카르바낙 활동은 이어질 것이라고 예측했다.

“아마도 잠시 멈추긴 할 겁니다. 규모가 축소되기도 하겠고요. 하지만 그 정도일 뿐입니다. 카르바낙이 완전히 사라지는 일은 없을 것입니다. 왜냐하면 돈을 너무 잘 벌었기 때문입니다. 그 맛을 본 자들이 쉽게 포기할 리가 없습니다.”

카르바낙의 지도자라는 인물이 체포됐다고 스페인 경찰과 유로폴이 발표한 건 현지 시각으로 3월 26일의 일이다. 하지만 해당 인물의 신상과 체포 과정에 대해서는 공개하지 않고 있다. 다만 AP 통신은 스페인 고위직 제보자의 말을 인용해 “데니스 K(Denis K)라는 우크라이나인”이라고 보도했다. 또한 이 인물의 공범으로 보이는 인물 세 명도 추가로 체포했다고 한다.

유로폴의 발표 내용은 FBI와 유로폴을 위시로 한 각국의 사법 기관 및 경찰 조직의 대대적인 국제 공조가 이번 체포에 있어 혁혁한 공을 세웠다는 것을 강조하는 데 많이 할애되어 있다. 특히 루마니아, 벨라루스, 대만의 정보 조직들과 일부 사기업들의 도움이 컸다고 한다.

이번 수사 공조의 핵심은 유럽은행연합(European Banking Federation, EBF)이 참여했다는 것이다. 유로폴과 유럽은행연합이 한 사건을 수사하기 위해 손을 잡은 것은 이번이 처음이다. 아무래도 카르바낙이 금융과 관련된 사이버 범죄를 주로 일으켰기 때문에 이러한 결정을 한 것으로 보인다.

카르바낙 그룹이 가장 먼저 세상에 모습을 드러낸 건 2013년 8월의 일이다. 당시는 아누낙(Anunak)이라는 멀웨어를 러시아 은행을 상대로 퍼트리고 있었다. 그리고는 얼마 지나지 않아 카르바낙이라는 멀웨어를 실험하기 시작하더니 2014년 말 경에는 약 100개의 금융 기관들을 침투하는 데 성공했다. 이 시점까지 누적시킨 피해액은 대량 10억 달러였다.

보안 업체 카스퍼스키가 카르바낙 그룹의 카르바낙 사용에 대해 가장 먼저 경고한 바 있다. 시점은 2015년 2월이었다. 당시 카스퍼스키의 보고서를 보면 카르바낙 그룹은 당시에도 피싱 이메일을 통해 카르바낙을 설치하는 것으로 나타났다. 이들은 한 번 침투한 이후에 횡적으로 움직여 같은 네트워크 내 다른 시스템들도 공략하는 것으로 카스퍼스키는 경고하고 있다.

또한 이 단체는 여러 가지 방법을 동원해 돈을 훔치는 것으로 알려져 있다. 그 중 하나는 ATM 시스템을 관리하는 서버에 침투하는 것이다. 그렇게 함으로서 서버를 통해 ATM 기기들에 명령을 내려 현금을 인출하도록 하는 것이다. 인출 시간과 장소를 설정하면 자금을 직접 운송하는 조직원들이 해당 지점으로 가 돈을 가져올 수 있었다.

그 외에도 카르바낙 갱단은 SWIFT라는 국제 은행 간 통신 시스템을 사용해 송금 오류를 일으키기도 했다. 즉 잘못된 계좌로 은행이 돈을 보내도록 손을 쓴 것이다. 이들은 은행의 데이터베이스에 침투해 가짜 계좌를 만든 뒤 잔금을 사기로 부풀리고 그 돈을 다른 계좌로 송금하기도 했다.

카스퍼스키가 이들의 이러한 수법을 발표하고 나서 카르바낙 그룹은 카르바낙 멀웨어 사용을 중단했다. 대신 침투 테스트 툴인 코발트 스트라이크(Cobalt Strike)를 사용해 공격을 실시했다. 유로폴에 의하면 코발트 스트라이크에 당한 은행들의 피해액은 1천 2백 5십만 달러에 달한다고 한다.

“순수하게 훔친 돈의 액수만으로 보면 카르바낙은 역사상 가장 성공적인 APT 단체입니다.” 카스퍼스키의 글로벌 연구 분석 팀을 이끄는 세르게이 골로바노프(Sergey Golovanov)의 설명이다. “이들이 이렇게 성공할 수 있었던 건 사이버전 단체들의 새로운 기술과 전략들을 그대로 복사해낼 수 있는 능력 때문입니다.”

또한 골로바노프는 “이번 공조와 카르바낙 지도자의 체포로 인해 사이버 범죄를 저지르고 무사할 사람은 아무도 없다는 사실이 다시 한 번 밝혀졌다”고 강조한다. “물론 몇 사람의 체포만으로 카르바낙이 완전히 사라진 것도 아직 아니고, 사이버 범죄가 없어질 것도 아닙니다만 적어도 그러한 가능성을 조금 더 넓게 열어둔 것만은 확실합니다.”

하이테크브리지(High-Tech Bridge)의 CEO인 일리야 콜로첸코(Ilia Kolochenko)는 조금 회의적인 편이다. “이번 체포로 인해 변하는 건 아무 것도 없을 겁니다. 범죄자들이 신원을 감추는 능력만 더 커지겠죠.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>