베트남은행 해커들, KB국민은행 외환거래 공격도 노려

“소니해킹 방식 유사… 北정찰총국 개입”

크게보기

지난해 12월 발생한 베트남 띠엔퐁 상업은행 해킹 공격에 사용된 악성코드에 KB국민은행의 금융기록을 조작할 수 있는 알고리즘(프로그램 규칙)이 포함된 것으로 확인됐다.

국내 사이버전 연구그룹 이슈메이커스랩은 18일 “띠엔퐁 상업은행을 공격한 악성코드를 입수해 분석한 결과 국민은행을 통해 송금이 이뤄질 경우 마음대로 수신 잔액을 조작할 수 있도록 설계된 것을 발견했다”고 밝혔다. 또 “국민은행을 비롯해 일본 미쓰비시도쿄UFJ은행, 싱가포르 UOB은행, 중국 공상은행, 이탈리아 우니크레디트 등 7개국 8개 은행이 금융기록 조작 대상인 것으로 파악됐다”고 덧붙였다.

이에 따라 국제 은행 간 자금결제 통신망 기구인 ‘스위프트(SWIFT)’는 전 세계 1만1000여 회원 금융회사와 중앙은행, 기업들에 자금 지불, 이체 등 온라인 뱅킹 관련 긴급 점검을 실시할 것을 촉구했다.
○ 해외 송금 과정에 악성코드

국민은행 계좌에서 띠엔퐁 상업은행 계좌로 1000만 원을 보내면 스위프트를 거쳐 띠엔퐁 상업은행으로 전달된다. 해커 그룹은 중간에서 스위프트 단계를 공격해 1000만 원을 다른 계좌로 빼돌릴 수 있다. 하지만 이번에 확인된 알고리즘을 활용하면 여전히 띠엔퐁 상업은행 계좌에는 1000만 원이 들어온 것으로 찍히도록 조작해 수사를 일정 시간 따돌릴 수 있는 것이다.

해당 악성코드는 국민은행 코드번호가 담긴 외환 거래가 이뤄질 경우 자동으로 기록을 남기는 방식으로 조작이 가능하도록 설계됐다.

다만 띠엔퐁 상업은행 해킹 공격에서는 중간 단계인 스위프트 해킹이 있었는지는 아직 확인되지 않았다. 올해 2월 유사 해커 그룹이 방글라데시 중앙은행을 공격했을 때는 실제로 스위프트 해킹도 이뤄져 총 8100만 달러(약 958억 원)를 빼돌렸다. 해커들은 방글라데시 중앙은행 서버에 알 수 없는 경로로 특별히 제작한 악성코드를 침투시켜 몇 주 동안이나 원격 감시한 끝에 범행을 저지른 것으로 확인됐다.

○ 북한 정찰총국이 관여했을 가능성

글로벌 보안업계에서는 띠엔퐁 상업은행 공격에 북한 정찰총국과 파키스탄 해커 그룹이 관여한 것으로 보고 있다. 글로벌 보안업체 BAE시스템스는 “두 해킹 공격에 쓰인 악성코드 방식이 2014년 소니픽처스 해킹 공격 때와 유사하다”고 밝혔다.

현재 조사가 진행 중인 방글라데시 중앙은행 해킹 사건에도 북한 관여 가능성이 제기된다. 방글라데시 중앙은행 사건의 디지털 감식을 맡고 있는 보안업체 파이어아이 관계자는 “해커 그룹 셋이 관여돼 있는 단서를 잡았다”며 “이 가운데 둘은 파키스탄과 북한 조직으로 확인됐다”고 말했다.

사이먼 최 이슈메이커스랩 대표는 “띠엔퐁 상업은행 공격은 지난해 12월 이뤄졌지만 해킹 사실이 파악된 것은 방글라데시 중앙은행 해킹 사실이 알려진 올해 2월 이후”라며 “이사이 해당 은행을 이용한 개인 및 기업 간 금융거래에서 잔액 조작이 일어났을 가능성이 매우 크다”고 지적했다. 이에 대해 국민은행 관계자는 “SWIFT망 단말에 대한 정밀 검사결과 이상이 없었다”며 “해당 은행과의 SWIFT 거래내역을 분석했으나 이상 거래는 나타나지 않았다”고 밝혔다.

곽도영 now@donga.com·서동일 기자