26일 시만텍코리아는 서울 역삼동 사옥에서 기자간담회를 열고 지난해 주요 사이버 범죄 및 보안 위협 동향에 대한 분석을 담은 ‘인터넷 보안 위협 보고서(ISTR, Internet Security Threat Report) 제 22호’를 발표했다.

윤광택 시만텍코리아 최고기술책임자(CTO)는 “북한은 10억달러를 목표로 공격을 실시해 9400만달러를 탈취했다”며 “은행 간 국제전자결제에 이용되는 스위프트(SWIFT) 공격의 배후 세력으로 북한이 꼽히고 있다”고 말했다.

과거에는 온라인을 통해 이용자들의 계좌번호와 비밀번호 탈취했으나, 이제는 공격자들이 실제로 은행을 타깃으로 하고 있다. 오늘날 금융권 최대규모의 절도 사건은 사이버 공간에서 일어나고 있으며 공격자들이 탈취한 금액은 수십억달러에 달한다.

시만텍은 방글라데시, 베트남, 에콰도르, 폴란드 등에 있는 은행을 겨냥한 공격과 북한이 관련돼 있는 증거를 발견했다고 밝혔다. 시만텍에 따르면 이 조직은 한 곳의 은행에만 한정하지 않고, 30여개국 104개 은행을 대상으로 하고 있었다.

윤 CTO는 “방글라데시 은행 사건을 조사한 결과, 스위프트 인증정보를 갈취해 자금 이체를 요청하는 명령을 내리는 악성코드가 발견됐다”며 “8100만달러는 필리핀으로, 2000만달러는 스리랑카로 송금하려 했다”고 설명했다.

스리랑카로 송금한 2000만달러는 관리자 측에서 위협을 발견해 실패했으나, 8100만달러는 필리핀으로 넘어갔다. 이 중 1500만달러는 필리핀의 한 카지노에서 회수된 것으로 알려졌다.

방글라데시 중앙은행 사이버 절도 사건은 지난해 대규모 피해액을 발생시킨 공격으로 유명하다. 공격자들은 방글라데시 은행의 보안 취약점을 이용해 내부 시스템에 침투, 스위프트 인증정보를 탈취한 후 사기 거래를 했다. 공격 흔적을 감추기 위해 악성코드를 사용했으며, 중앙은행의 거래확인 메시지를 조작했다.

이들은 미국 뉴욕 연방준비은행에 방글라데이 은행의 예치금을 필린핀·스리랑카 등에 위치한 은행으로 이체를 요청했다. 다행히 스리랑카에 위치한 비영리 재단으로 2000만달러를 이체하는 건은 철자를 잘못 기재해 의심을 사게 돼 이체를 중단시킬 수 있었다. 그러나 8100만달러의 부정 송금은 막지 못했다.

시만텍은 방글라데시 중앙은행 공격에 사용된 악성코드 ‘Trojan.Banswift’를 분석한 결과 라자루스(Lazarus) 그룹이 사용한 툴과 동일한 코드를 사용하고 있음을 알아냈다. 미국 FBI 또한 라자루스 배후에 북한 정부가 있다고 언급한 바 있다. 라자루스는 2014년 소니 해킹 사건 공격자로 지목받은 곳이다.

윤 CTO는 “이들은 스위프트에 대한 해박한 지식을 갖췄으며, 송금 후 어떤 흔적이 남는지 완전히 이해하고 있었다”며 “시스템 조작을 위한 맞춤형 악성코드를 사용하기도 했다”고 부연했다.

한편, 이날 시만텍코리아는 인터넷 보안 위협 보고서를 소개하며 ▲정치적 목적 및 체제 전복을 위한 사이버 공격 급증 ▲일반 IT 툴을 무기화하는 공격 증가 ▲이메일 131건당 1건에 악성링크 또는 악성 첨부문서 포함 등 이메일 활용 공격 최고치 ▲전세계 랜섬웨어 공격 36% 증가 ▲클라우드 환경 내 사이버 범죄 등을 지난해 주요 보안 위협 동향으로 꼽았다.

<최민지 기자>cmj@ddaily.co.kr