머니테이커, SWIFT 비슷한 러시아 은행 통신 시스템 침해
훔치고 빠져나간 게 아니라 시스템에 남아 있기 위해 시도

[보안뉴스 문가용 기자] 머니테이커(MoneyTaker)라는 이름을 가진 사이버 범죄 그룹이 최근 러시아의 한 은행으로부터 1백만 달러를 훔치는 데 성공했다고 보안 회사인 그룹IB(Group-IB)가 밝혔다. 피해 은행의 이름은 PIR뱅크(PIR Bank)다.


사건 자체가 발생한 건 7월 3일이며, 공격자들은 러시아 중앙은행의 자동화 워크스테이션 클라이언트(Automated Workstation Client)를 통해 일을 저질렀다. 자동화 워크스테이션 클라이언트는 국제 은행 간 통신 시스템인 SWIFT와 비슷한 것으로, 공격자들은 이 시스템을 통해 돈을 17개 계좌로 불법 송금한 후 현금으로 인출했다.

심지어 사건 이후에도 사이버 범죄자들은 은행의 네트워크에서 빠져나가는 게 아니라 계속해서 머물러 있는 쪽을 택했다. 다만 이 시도는 탐지되어 제거됐다. PIR뱅크 측에서는 불법 송금된 돈을 회수하려고 했으나, 도난 당한 돈 대부분을 찾을 수 없었다고 발표했다. 이는 총 92만 달러에 달하는데, 그룹IB에 따르면 이것도 ‘최소한의 예측 액’일뿐이라고 한다.

그룹IB는 이 사건의 조사와 분석을 책임진 회사로, “모든 증거가 머니테이커라는 공격 그룹을 가리키고 있다”고 말한다. 이번 공격에 사용된 툴과 기술이 머니테이커라의 그것과 상당히 겹치기 때문이다. 또한 C&C 서버의 IP 주소 역시 이전 머니테이커의 그것과 겹친다고 한다.

머니테이커는 현재까지 발견된 것만 20건이 넘는 금융 사고를 저지른 그룹으로, 주로 영국과 미국, 러시아에서 지난 2년 동안 활동해왔다. 주로 러시아 은행들이 사용하는 AWS CBR이나 미국의 SWIFT 같은 카드 처리 시스템을 공격했다고 그룹IB는 설명한다.

보안 전문가들은 PIR뱅크를 겨냥한 공격이 최초로 시도되기 시작한 건 2018년 5월이라고 보고 있다. 은행의 지부 중 한 군데의 라우터를 침해한 것부터 공격이 이뤄졌다. “라우터를 통해 공격자들은 은행의 로컬 네트워크로 직접 침투해 들어갈 수 있었습니다. 이런 방식 자체가 전형적인 머니테이커의 모습입니다. 이미 다른 나라의 여러 은행들도 이런 방식으로 공격한 바 있습니다.”

그런 후 해커들은 은행의 주요 네트워크로까지 침투해 AWS CBR에 접근하는 데 성공했다. 그리고 지불과 관련된 명령을 자기들이 생성해 전송하고, 돈을 운반책들이 미리 마련한 계좌로 송금했다. 이번에 동원된 계좌의 수는 17개이며, 운반책들은 송금과 거의 동시에 ATM 기기들을 통해 현금을 인출했다. 7월 3~4일 사이에 발생한 일이다.

이러한 사태를 은행 직원들이 내부적으로 발견한 건 7월 4일 저녁이었다. 은행은 즉시 AWS CBR의 디지털 서명 키를 차단해달라고 금융 당국에 요청했다. 그러나 너무 늦었다. 돈이 흘러가는 걸 막을 수는 없었고, 그러는 사이 해커들은 유유히 현금을 챙겨 달아났다.

공격자들은 자신들이 침해한 컴퓨터의 OS 로그도 말끔히 지워내기도 했다. 분석과 추적을 막기 위해서다. 또한 은행의 컴퓨터에 리버스 셸(reverse shell)도 남겨 추후 새로운 공격도 감행할 수 있도록 조치를 취해뒀다. 그러나 이는 디지털 수사 과정에서 발견됐다.

그룹IB의 포렌식 책임자인 발레리 볼린(Valeriy Baulin)은 “말은 쉽지만 AWS CBR을 공격에 활용한다는 건 굉장히 어려운 일”이라고 설명한다. “그러니까 이런 식의 공격이 여러 범죄자들 사이에서 각광받는 게 아닌 겁니다. 쉬웠다면 AWS CBR이나 SWIFT 공격 상황이 좀 더 많았겠죠.”

그러나 2016년부터 시작해 러시아 은행들 사이에서는 이런 식의 공격이 최소 세 건 발견됐다. 특히 2016년에는 머니테이커가 자신들이 직접 만든 프로그램을 가지고 러시아 은행으로부터 2백만 달러를 훔침으로써 큰 인상을 남겼다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>