방글라데시 사이버 은행털이는 북한?

2년 전 소니영화사 해킹과 악성코드 유사성 최근 조사에서 발견돼

1
두 사건의 연관성을 보여주는 것으로 분석된 악성 코드 ‘msoutc.exe’는 지난해 소니 사이버 공격에 사용된 악성 코드에 관해 경고했던 미국 컴퓨터위기대응팀(CERT) 경보에 설명된 모델과 일치한다.

방글라데시 중앙은행에서 8100만 달러(약 955억원)가 털린 사이버 강도 수사가 묘한 방향으로 흘러간다. BAE 시스템스의 보안 조사팀이 해킹에 사용된 악성코드(malware)와 2014년 소니영화사에 대한 해킹공격 간의 연관성을 찾아냈다고 주장하면서부터다.

미국 정부 전문가들을 포함한 많은 사람이 소니에 대한 사이버 공격은 북한 정부 기관 소속 해커들의 소행이었다고 믿는다. 이번 방글라데시 은행 사건에 북한이 정말 관련됐을까?

BAE는 ‘사이버 강도의 속성(Cyber Heist Attribution)’이라는 제목의 보고서에서 처음에는 단일 은행을 겨냥한 단발성 공격인 듯했지만 조사해 보니 생각보다 훨씬 더 규모가 컸다고 주장한다.

보고서는 “은행들에 깔린 국제은행간금융통신협회(Swift) 기반 시스템에 사용된 악성코드에 대한 우리의 조사 결과 해커가 사용한 복수의 맞춤 도구들이 드러났다”며 “처음에는 아시아의 특정 은행을 노린 단발성 공격으로 생각했지만 더 광범위한 움직임이 있는 것으로 밝혀졌다”고 설명했다.

BAE는 방글라데시 은행 사건과 관련된 ‘수천만 개’의 샘플을 분석한 뒤 소니 해킹사건에 대한 ‘블럭버스터 작전’ 수사 중 발견된 악성 코드와 최근 은행 해킹 간의 연관성을 찾아냈다고 말했다. 블록버스터 작전 수사는 대규모 사이버공격에서 아주 특정한 악성코드 모델을 사용한 라자루스라는 단체에 초점이 맞춰졌다. 거기에 사용된 악성코드에 근거해 미 연방수사국(FBI)은 소니 해킹 공격에 북한 정부가 관련됐다는 결론에 이르렀다. 북한 정부는 혐의를 부인해 왔다.

보고서는 “공통적으로 발견된 샘플들은 최근의 은행강도 사건들과 10년 전 해킹 공세 배후의 프로그램 코더가 동일 인물일 가능성을 뒷받침하는 뚜렷한 증거”라고 평했다.

BAE에 따르면 방글라데시 은행 해킹에 사용된 악성코드에는 또 다른 유사성도 있다. 사용된 암호화 키와 ‘뮤텍스(mutual exclusion objects)’라 불리는 상당수 프로그래밍 요소의 이름들이다. BAE의 애드리안 니시 위협정보 팀장은 “동일한 프로그램 코더의 일관된 특성을 보여주는 코드에서 연관성이 드러난다”고 말했다.

두 사건의 연관성을 보여주는 것으로 분석된 악성 코드는 ‘msoutc.exe’이다. BAE에 따르면 지난해 소니 사이버 공격에 사용된 악성 코드에 관해 경고했던 미국 컴퓨터위기대응팀(CERT) 경보에 설명된 모델과 일치한다.

따라서 아무리 가능성이 희박해 보일지라도 BAE의 조사 결과는 북한과 파키스탄 해커 그룹의 디지털 흔적을 찾아낸 파이어아이의 조사 결과와 깊은 관계가 있다. 파이어아이는 사이버공격을 공식 조사 중인 사이버 보안 업체다.

물론 사이버공격의 출처를 색출하기란 쉬운 일이 아니다. 고급 해커들은 ‘가짜 깃발(false flags)’을 이용해 공격 출처를 위장하거나 심지어 코드에 외국어를 삽입해 수사관들에게 혼란을 준다. 게다가 악성코드가 재사용되거나 사이버 범죄자들 사이에서 거래 또는 공유될 가능성도 있다.

하지만 BAE도 보고서에서 이 같은 시나리오를 제시하면서도 모두 “가능성이 희박하다”고 진단했다. “(해킹에 사용된) 특정 파일삭제 기능이 비슷한 결과를 얻으려는 복수의 프로그래머들 사이에서 공유 코드로 존재할 수 있다. 그러나 우리는 수천만 개의 파일을 검색한 뒤 이 코드가 공개 유통되거나 어떤 다른 소프트웨어 안에 존재하지 않는다는 것을 확인했다.”

보고서는 “다른 가능성은 상당히 희박하지만 이들 해킹 공격의 중심에 동일한 코더가 있다”면서도 특정 범죄자를 지목하지는 않았다. “코더가 누구인지, 어디 소속인지, 동기가 무엇인지는 디지털 증거만으로는 규명할 수 없다.”
국가의 개입 가능성에 대해 방글라데시 은행의 대변인은 “우리는 과학 수사 전문가들을 동원해 이번 사건까지 전반적으로 조사한다”고 로이터 통신에 말했다.

알려진대로 최근 피해 은행 숫자가 늘어났다. 전 세계 1만1000개 금융기관을 연결하는 통신·거래 시스템인 스위프트는 고도의 악성코드가 제2의 상업은행을 노렸다고 밝혔다. BAE에 따르면 자체 분석에서 베트남 소재의 은행임은 알려졌지만 정확한 기업 또는 지점은 확인되지 않았다. 역시 은행 이름을 밝히지 않은 스위프트 관계자들은 제2의 은행 해킹에서 자금이 도난당했는지 또는 어떤 컴퓨터 시스템이 뚫렸는지 언급하지 않았다.

2
방글라데시 은행을 공격한 해커들은 스위프트를 통해 보낸 메시지의 오타로 차질을 겪으면서도 무려 8100만 달러를 빼돌릴 수 있었다. 사진은 방글라데시 은행.

과학수사 전문가들에 따르면 2차 해킹 공격은 방글라데시 은행 해킹이 “단발성이 아니라 은행들을 겨냥한 더 광범위하고 고도의 적응력을 지닌 공세”임을 보여준다.

방글라데시 중앙은행에 대한 1차 해킹은 지난 2월 초 발생했다. 해커들이 미국 뉴욕 연방준비은행의 방글라데시 은행 계좌에서 무려 9억5100만 달러를 훔쳐내기 위한 작전을 벌였다. 스위프트를 통해 보낸 메시지의 오타로 차질을 겪으면서도 해커들은 무려 8100만 달러를 빼돌릴 수 있었다.

후속 조사에서 전 세계의 당국자들은 서로 책임을 전가했다. 최근에는 방글라데시 경찰 당국자들이 스위프트 기술자들을 비난하기도 했다. 방글라데시 은행 시스템이 해킹을 당하기 쉽도록 여러 가지 약점을 만들어 놓았다는 주장이다.

방글라데시 경찰의 무하마드 샤 알람 범죄수사과장은 “우리는 많은 허점을 찾아냈다”며 “시스템 변경이 방글라데시 은행에 훨씬 더 큰 위험을 초래했다”고 밝혔다. 스위프트는 어떤 부정행위도 없었다고 반박했다. 스위프트는 성명을 통해 “우리는 방글라데시 은행과 방글라데시 경찰청 범죄수사국(CID)의 거짓되고 부정확하고 오해를 불러일으키는 주장에 문제가 있는 것으로 본다”며 “사실에 근거한 주장이 전혀 아니다”고 말했다.

그러나 스위프트가 해킹 공격에 약점을 만들었는지 모르지만 은행의 보안이 상당히 허술했음을 보여주는 증거도 나왔다. 해킹 후 방글라데시 은행이 방화벽을 사용하지 않고, 스위프트의 보안 통신 시스템에 연결하는 라우터에 싸구려 불량 제품을 사용했다는 보도도 있었다.

어쨌든 수사는 진행 중이다. BAE의 최근 보고서는 불길에 기름을 끼얹는 결과가 될 가능성이 크다. 이번 해킹에 국가의 개입이 사실로 밝혀질 경우 이 사이버 공격 관련 조사가 전 세계에 큰 정치적 파장을 몰고 올 수 있는 시나리오로 확대될 것으로 예상되기 때문이다.

– 제이슨 머독 아이비타임즈 기자