세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
수천만 달러 인출해가는 다크비슈나에 동유럽 은행 비상
  |  입력 : 2018-12-10 16:18
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
여러 곳에서 공격 있으나 수법과 전략 비슷...한 단체인 듯
악성 장비를 네트워크에 연결시키고, 이를 통해 공격 확장시켜


[보안뉴스 문가용 기자] 같은 단체를 위해 일하고 있는 듯한 사이버 공격자들이 동유럽의 은행 8군데 이상에서 수천만 달러를 훔쳐내는 데 성공했다. 각 은행의 로컬 네트워크에 연결된 장비를 통해 접근 권한을 취득해 그와 같은 일을 해낸 것으로 알려졌다.

[이미지 = iclickart]


공격자들은 본사와 멀리 떨어진 지방이나 심지어 타국의 지점을 공격하기도 했지만, 중앙 사무실이나 본사의 네트워크에 장비들을 직접 연결시키기도 했다. 이들의 공격 행위에 대해서는 최근 보안 업체 카스퍼스키(Kaspersky)가 보고서를 통해 발표했다.

자신들의 장비를 네트워크에 연결시키는 데 성공한 공격자들은 거기서부터 네트워크를 해집고 다니기 시작했다. 그러면서 많은 돈을 인출하는 데 필요한 시스템들을 찾아내고 조작하기 시작했다. 여기에는 ATM 장비들도 포함되어 있다.

카스퍼스키는 이번에 발견된 대규모 공격 캠페인을 다크비슈냐(DarkVishnya)라고 명명했다. 카스퍼스키의 수석 연구원인 세르게이 골로바노프(Sergey Golovanov)는 “여러 금융 기관들을 대상으로 한 캠페인으로, 장비를 동원한 물리적 접근이라는 공통점이 존재한다”고 설명했다. “이 장비들이 네트워크로 들어가는 발판의 역할을 했습니다.”

골로바노프는 “이 사건을 통해 네트워크 외곽만을 보호하는 사이버 보안이 예전만큼 강력하지 않다는 게 입증됐다”고 설명한다. “사이버 범죄자들은 이제 아무런 흔적도 남기지 않고 네트워크에 드나들 수 있기 때문입니다. 심지어 장비들에 로그도 남기지 않을 수 있어요. 유령을 상대로 경계근무자를 아무리 세워봐야 소용이 없다는 겁니다.”

카스퍼스키는 다크비슈나 캠페인에 사용된 장비들이 크게 세 종류로 나뉜다고 보고서를 통해 설명했다. “가장 대표적인 건 노트북 및 저렴한 랩톱이었습니다. 그 다음은 라즈베리 파이로 만든 컴퓨터였고, 마지막은 리눅스 기반 툴은 배시 버니(Bash Bunny)였습니다. 배시 버니는 USB 포트에 꽂아 멀웨어를 배포하는 데 사용할 수 있습니다.”

사이버 범죄자들은 택배 직원, 구직자 등으로 위장하여 자신들이 목표로 삼은 건물 안으로 들어갈 수 있었다. 그런 후 회의실에 있는 컴퓨터나, 네트워크 소켓이 탑재된 책상 등에 미리 준비한 장비를 연결시켰다.

이 장비들은 종류가 무엇이든 전부 원격에서 접근이 가능하도록 설계되었다. 로컬 네트워크에서는 ‘알 수 없는 컴퓨터’나 외부 플래시 드라이버, 혹은 키보드인 것처럼 보인다. 그러나 로컬 네트워크에 연결된 사용자들이 이 장비들을 발견하는 게 쉽지는 않다. 보통 주변 환경에 어울리는 상태로 숨겨져 있기 때문이다. “즉, 엉뚱한 장비가 엉뚱한 위치에 나타나지 않는다는 겁니다.”

그런 후 공격자들은 원격에서 해당 장비에 접근한다. 그리고 여기서부터 네트워크를 스캔해 누구에게나 열려 있는 폴더들과 웹 서버 등 여러 가지 공개 자원들을 찾아낸다. 그러면서 지불과 관련이 있는 최대한 많은 정보를 끌어 모으기도 한다. 지불 관련 시스템을 발견한 후 공격자들은 브루트 포스 공격을 통해 해당 시스템으로 들어가거나, 미리 확보한 크리덴셜을 입력해 정상적으로 로그인을 한다.

“재미있는 건 해커들이 은행 내부 시스템에 멀웨어를 심더라도, 자신들이 보유하고 있는 외부 IP 주소들을 곧바로 연결하지 않는다는 겁니다. 대신 로컬의 TCP 포트를 열고, 이를 통해서 로컬 시스템과 연결합니다.”

만약 방화벽 때문에 이러한 기법이 통하지 않는다면 공격자들은 “표적이 된 시스템으로의 접근 권한을 이미 가지고 있는 로컬 컴퓨터의 서버를 사용해 접근을 시도”한다. “로컬 포트가 열린 컴퓨터들도 있고, IP 주소들만 가지고 있는 컴퓨터들도 있습니다. 이런 컴퓨터들을 공격자들은 고루 사용합니다. 하지만 자신들의 외부 IP 주소를 절대 직접 사용하진 않습니다.”

카스퍼스키는 “이 공격으로 인해 은행들이 최소 수천만 달러의 피해를 입었을 것”이라고 보고 있다. 특히 “이러한 과정을 통해 공격자들은 ATM 사기 인출을 많이 진행했고, 돈을 엄청나게 빼갔다”는 설명도 덧붙였다.

골로바노프는 “여러 은행과 금융 기관들에 동시다발적인 공격이 있었지만, 공격 수법 자체가 동일하고 기기들도 다 비슷했다”며 “아마도 한 개의 단체가 지휘했을 것”이라고 예상하고 있다. 하지만 카스퍼스키는 용의자로 보이는 세력에 대해 아무런 언급도 하지 않고 있다.

3줄 요약
1. 동유럽 여러 은행들 동시다발적으로 공격하는 다크비슈나 작전.
2. 범인들, 기업에 물리적으로 침투하여 자신들의 장비를 심어놓고 나옴.
3. 장비를 통해 원격에서 접근하고, 사기성 인출해 수천만 달러 피해 입힘.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년은 4차 산업혁명을 이끌 보안기술들이 본격적으로 상품화될 것으로 기대되고 있습니다. 2019년에 선보이는 다양한 보안기술 중에서 어떤 기술이 가장 주목을 받을 것이라고 생각하시나요?
실시간 위협탐지·대응 기술 EDR
빅데이터 기반의 인공지능(AI) 보안기술
음성인식·행동인식 등 차세대 생체인식기술
차세대 인터넷, 블록체인 기반 보안기술
보안위협 분석 위한 인텔리전스 보안기술
대세는 클라우드, 클라우드 기반 보안기술
IoT 기기를 위한 경량화 보안기술
IP 카메라 해킹 대응 개인영상 정보보호 기술