세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
북한의 라자루스 그룹, 아시아와 아프리카의 ATM 공격
  |  입력 : 2018-11-09 11:02
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
오래된 AIX 운영하고 있던 중소 규모 은행들 전부 피해 입어
수천만 달러에 달하는 피해액...FBI와 국토안보부 등 권고문 발표


[보안뉴스 문가용 기자] IT 및 보안 업체 시만텍(Symantec)이 북한의 악명 높은 해킹 그룹인 라자루스(Lazarus)가 2016년부터 사용해왔던 멀웨어를 공개했다. 북한 정부는 라자루스 그룹의 이 멀웨어를 통해 아시아와 아프리카의 중소 규모 은행들의 ATM을 해킹해 수천만 달러를 현금으로 훔쳐냈다고 한다.

[이미지 = iclickart]


시만텍이 발표한 보고서에 따르면 이 멀웨어는 ATM을 통해 은행 시스템 내 스위치 서버로 전달되는 현금 인출 요청을 중간에서 가로채고, 멋대로 거래를 승인한다고 한다. 그러니 불법적인 인출 요청을 해도 이 멀웨어만 있으면 현금을 받을 수 있게 되는 것이다.

이 멀웨어는 실행파일 형태로 만들어져 있으며, IBM의 AIX 운영체제를 기반으로 하고 있는 애플리케이션 서버의 프로세스들에 주입될 수 있다. 라자루스 그룹이 현재까지 침해하는 데 성공한 스위치 애플리케이션 서버들 전부 AIX 운영체제가 설치되어 있었다고 한다. 그것도 더 이상 IBM의 지원이 이뤄지지 않는 버전의 AIX였다.

시만텍의 위협 첩보 분석가인 존 디마지오(Jon DiMaggio)는 “그렇기에 이러한 공격 수법을 통해 교훈을 얻어야 할 건 금융권만이 아니라, 오래되고 낡은 장비나 OS, 소프트웨어를 사용하고 있는 모든 조직들”이라고 말한다. “결국 업데이트가 되지 않아 알려진 취약점을 가지고 있는 시스템은 해킹을 당할 수밖에 없습니다.”

그러면서 디마지오는 “네트워크와 시스템을 업그레이드 하는 비용과, 이런 식의 공격을 당해 잃는 돈, 명성, 고객 신뢰의 비용 중 어떤 게 더 큰가 진지하게 비교해봐야 한다”고 설명한다. “돈과 개인정보 모두를 다루는 금융 기관이라면 소프트웨어와 OS의 최신화가 기본이 되어야 합니다. 지원이 되지 않을 정도로 옛날 버전을 사용한다는 건 금융 기관으로서의 책임을 이행하지 않은 것이죠.”

미국 정부는 라자루스 그룹의 ATM 공격을 패스트캐시(FastCash) 캠페인이라고 부르고 있다. 지난 10월 2일 FBI와 국토안보부, 재무부는 합동으로 기술 권고문을 발표하며 “패스트캐시 공격으로 은행권에서 수천만 달러에 달하는 피해가 발생하고 있다”고 경고했다. 그러면서 “라자루스 그룹은 2017년과 2018년, 20개가 넘는 국가의 ATM 기기들로부터 동시다발적인 사기성 현금 인출 공격을 실시했다”고 사례를 들었다.

시만텍은 “이 2017년 사건과 2018년 사건 모두에서 라자루스 그룹은 은행 애플리케이션 서버에 멀웨어를 주입시켰다”며 “그렇게 함으로써 가짜 ATM 인출 요청을 중간에서 가로채고, 승인할 수 있었다”고 설명했다. 문제의 멀웨어를 시만텍은 트로얀패스트캐시(Trojan.Fastcash)라고 부르며, “크게 두 가지 기능을 가지고 있다”고 말한다.

“하나는 ATM으로부터 들어오는 모든 트래픽 내의 제1차 계정 번호(Primary Account Number, PAN)을 모니터링해서 읽어내는 겁니다. 트로얀패스트캐시는 공격자들의 것으로 알려진 PAN이 포함된 모든 트래픽을 차단하도록 설계되어 있습니다. 그 다음으로는 사기성 요청에 대한 가짜 승인을 만들어 보냅니다. 그럼으로써 공격자들이 보내는 가짜 인출 요청에 현금이 반드시 나오도록 하는 것이죠. 실제로 공격에 당한 계정들의 잔고는 전부 0에 가까웠습니다.”

디마지오에 의하면 “멀웨어가 보내는 응답은 ISO 8583 문서와 같은 형식을 갖추고 있다”고 한다. ISO 8583은 은행과 금융 기관들 사이에서 사용되는 일종의 통신 표준이다. “공격자들은 이 표준을 흉내 냄으로써 공격의 성공률을 높이고, ATM과 엮인 시스템을 속일 수 있었습니다.”

현재까지 시만텍은 트로얀패스트캐시의 여러 버전을 찾아냈다. 전부 응답 로직에서 조금씩 차이를 보였다. 하지만 왜 굳이 라자루스 공격자들이 응답 로직을 바꿔가며 공격해야 했는지는 파악하기 힘들다고 한다.

북한의 라자루스는 주로 아시아와 아프리카의 중소 규모 은행들을 공격해왔다. 보안에 투자를 많이 할 수 없는 곳들이었다. “그런 조직들에서 지원이 끝난 소프트웨어나 OS를 발견하는 건 그리 어려운 일이 아닙니다. 실제 피해를 입은 조직들 전부에서 지원이 끝난 AIX가 공통적으로 발견되기도 했고요. 북한이 아시아와 아프리카 특정 국가들을 정치적으로 노린 게 아니라, 취약한 AIX가 있는 조직들을 공격한 거라고 볼 수 있습니다.”

하지만 라자루스 해커들이 애초에 어떤 방식으로 스위치 애플리케이션 서버에 접근할 수 있었는지는 알려지지 않고 있다. 가장 가능성이 높은 시나리오는, 스피어 피싱 이메일을 통해 내부 직원의 크리덴셜을 훔쳐내고, 이를 통해 네트워크에 접근했다는 것이다. “네트워크 환경에 대한 학습도 사전에 철저하게 했을 것으로 보입니다. 그런 지식에 정상적인 크리덴셜까지 합쳐지면 공격자는 자유롭게 원하는 공격을 할 수 있게 됩니다.”

3줄 요약
1. 돈독 오른 북한 정부, 아시아와 아프리카 은행의 ATM 공격.
2. 공격자들의 인출 요청을 보내면 멀웨어가 그걸 가로채서 은행에 못 가도록 하고, 가짜 승인 요청을 생산해 ATM이 현금을 쏟아내도록 함.
3. 피해 은행 전부에서 오래된 OS 발견됨. 업데이트만 했다면...

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)