Home > 전체기사
북한의 라자루스 그룹, 아시아와 아프리카의 ATM 공격
  |  입력 : 2018-11-09 11:02
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
오래된 AIX 운영하고 있던 중소 규모 은행들 전부 피해 입어
수천만 달러에 달하는 피해액...FBI와 국토안보부 등 권고문 발표


[보안뉴스 문가용 기자] IT 및 보안 업체 시만텍(Symantec)이 북한의 악명 높은 해킹 그룹인 라자루스(Lazarus)가 2016년부터 사용해왔던 멀웨어를 공개했다. 북한 정부는 라자루스 그룹의 이 멀웨어를 통해 아시아와 아프리카의 중소 규모 은행들의 ATM을 해킹해 수천만 달러를 현금으로 훔쳐냈다고 한다.

[이미지 = iclickart]


시만텍이 발표한 보고서에 따르면 이 멀웨어는 ATM을 통해 은행 시스템 내 스위치 서버로 전달되는 현금 인출 요청을 중간에서 가로채고, 멋대로 거래를 승인한다고 한다. 그러니 불법적인 인출 요청을 해도 이 멀웨어만 있으면 현금을 받을 수 있게 되는 것이다.

이 멀웨어는 실행파일 형태로 만들어져 있으며, IBM의 AIX 운영체제를 기반으로 하고 있는 애플리케이션 서버의 프로세스들에 주입될 수 있다. 라자루스 그룹이 현재까지 침해하는 데 성공한 스위치 애플리케이션 서버들 전부 AIX 운영체제가 설치되어 있었다고 한다. 그것도 더 이상 IBM의 지원이 이뤄지지 않는 버전의 AIX였다.

시만텍의 위협 첩보 분석가인 존 디마지오(Jon DiMaggio)는 “그렇기에 이러한 공격 수법을 통해 교훈을 얻어야 할 건 금융권만이 아니라, 오래되고 낡은 장비나 OS, 소프트웨어를 사용하고 있는 모든 조직들”이라고 말한다. “결국 업데이트가 되지 않아 알려진 취약점을 가지고 있는 시스템은 해킹을 당할 수밖에 없습니다.”

그러면서 디마지오는 “네트워크와 시스템을 업그레이드 하는 비용과, 이런 식의 공격을 당해 잃는 돈, 명성, 고객 신뢰의 비용 중 어떤 게 더 큰가 진지하게 비교해봐야 한다”고 설명한다. “돈과 개인정보 모두를 다루는 금융 기관이라면 소프트웨어와 OS의 최신화가 기본이 되어야 합니다. 지원이 되지 않을 정도로 옛날 버전을 사용한다는 건 금융 기관으로서의 책임을 이행하지 않은 것이죠.”

미국 정부는 라자루스 그룹의 ATM 공격을 패스트캐시(FastCash) 캠페인이라고 부르고 있다. 지난 10월 2일 FBI와 국토안보부, 재무부는 합동으로 기술 권고문을 발표하며 “패스트캐시 공격으로 은행권에서 수천만 달러에 달하는 피해가 발생하고 있다”고 경고했다. 그러면서 “라자루스 그룹은 2017년과 2018년, 20개가 넘는 국가의 ATM 기기들로부터 동시다발적인 사기성 현금 인출 공격을 실시했다”고 사례를 들었다.

시만텍은 “이 2017년 사건과 2018년 사건 모두에서 라자루스 그룹은 은행 애플리케이션 서버에 멀웨어를 주입시켰다”며 “그렇게 함으로써 가짜 ATM 인출 요청을 중간에서 가로채고, 승인할 수 있었다”고 설명했다. 문제의 멀웨어를 시만텍은 트로얀패스트캐시(Trojan.Fastcash)라고 부르며, “크게 두 가지 기능을 가지고 있다”고 말한다.

“하나는 ATM으로부터 들어오는 모든 트래픽 내의 제1차 계정 번호(Primary Account Number, PAN)을 모니터링해서 읽어내는 겁니다. 트로얀패스트캐시는 공격자들의 것으로 알려진 PAN이 포함된 모든 트래픽을 차단하도록 설계되어 있습니다. 그 다음으로는 사기성 요청에 대한 가짜 승인을 만들어 보냅니다. 그럼으로써 공격자들이 보내는 가짜 인출 요청에 현금이 반드시 나오도록 하는 것이죠. 실제로 공격에 당한 계정들의 잔고는 전부 0에 가까웠습니다.”

디마지오에 의하면 “멀웨어가 보내는 응답은 ISO 8583 문서와 같은 형식을 갖추고 있다”고 한다. ISO 8583은 은행과 금융 기관들 사이에서 사용되는 일종의 통신 표준이다. “공격자들은 이 표준을 흉내 냄으로써 공격의 성공률을 높이고, ATM과 엮인 시스템을 속일 수 있었습니다.”

현재까지 시만텍은 트로얀패스트캐시의 여러 버전을 찾아냈다. 전부 응답 로직에서 조금씩 차이를 보였다. 하지만 왜 굳이 라자루스 공격자들이 응답 로직을 바꿔가며 공격해야 했는지는 파악하기 힘들다고 한다.

북한의 라자루스는 주로 아시아와 아프리카의 중소 규모 은행들을 공격해왔다. 보안에 투자를 많이 할 수 없는 곳들이었다. “그런 조직들에서 지원이 끝난 소프트웨어나 OS를 발견하는 건 그리 어려운 일이 아닙니다. 실제 피해를 입은 조직들 전부에서 지원이 끝난 AIX가 공통적으로 발견되기도 했고요. 북한이 아시아와 아프리카 특정 국가들을 정치적으로 노린 게 아니라, 취약한 AIX가 있는 조직들을 공격한 거라고 볼 수 있습니다.”

하지만 라자루스 해커들이 애초에 어떤 방식으로 스위치 애플리케이션 서버에 접근할 수 있었는지는 알려지지 않고 있다. 가장 가능성이 높은 시나리오는, 스피어 피싱 이메일을 통해 내부 직원의 크리덴셜을 훔쳐내고, 이를 통해 네트워크에 접근했다는 것이다. “네트워크 환경에 대한 학습도 사전에 철저하게 했을 것으로 보입니다. 그런 지식에 정상적인 크리덴셜까지 합쳐지면 공격자는 자유롭게 원하는 공격을 할 수 있게 됩니다.”

3줄 요약
1. 돈독 오른 북한 정부, 아시아와 아프리카 은행의 ATM 공격.
2. 공격자들의 인출 요청을 보내면 멀웨어가 그걸 가로채서 은행에 못 가도록 하고, 가짜 승인 요청을 생산해 ATM이 현금을 쏟아내도록 함.
3. 피해 은행 전부에서 오래된 OS 발견됨. 업데이트만 했다면...

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
신기술이 무서운 속도로 등장하고 있습니다. 가장 시급히 보안 장치/정책/규정규정/표준이 도입되어야 하는 분야는 무엇이라고 생각하십니까?
클라우드와 컨테이너
SDN(소프트웨어 정의 네트워크)
인공지능과 자동화
블록체인
소셜 미디어
기타(댓글로)
      

코오롱베니트
CCTV

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

코맥스
홈시큐리티 / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

동양유니텍
IR PTZ 카메라

하이크비전 코리아
CCTV / IP / NVR

한국하니웰
CCTV / DVR

원우이엔지
줌카메라

포소드
CCTV / 통합관제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

보쉬시큐리티시스템즈
CCTV / 영상보안

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

트루엔
IP 카메라

슈프리마
출입통제 / 얼굴인식

에스카
CCTV / 영상개선

두현
DVR / CCTV / IP

테크어헤드
얼굴인식 소프트웨어

옵티언스
IR 투광기

엔토스정보통신
DVR / NVR / CCTV

구네보코리아
보안게이트

비전정보통신
IP카메라 / VMS / 폴

디케이솔루션
메트릭스 / 망전송시스템

씨오피코리아
CCTV 영상 전송장비

KPN
안티버그 카메라

세종텔레콤
스마트케어 서비스

진명아이앤씨
CCTV / 카메라

티에스아이솔루션
출입 통제 솔루션

아이엔아이
울타리 침입 감지 시스템

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

신우테크
팬틸드 / 하우징

일산정밀
CCTV / 부품 / 윈도우

엘림광통신
광전송링크

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

창우
폴대

케이티앤씨
CCTV / 모듈 / 도어락

유시스
CCTV 장애관리 POE

지에스티엔지니어링
게이트 / 스피드게이트

인터코엑스
영상 관련 커넥터

두레옵트로닉스
카메라 렌즈

씨큐리티에비던스
카메라

유진시스템코리아
팬틸트 / 하우징

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

글로넥스
카드리더 / 데드볼트

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

대원전광
렌즈

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향