약 1조 원을 은행에서 훔친 북한 해커집단의 수법이란?

2016년 방글라데시의 중앙은행인 방글라데시은행에서 누군가에 의해 총액 9억 5100만 달러(약 1조 1410억 원)가 부정하게 송금되는 사건이 일어났습니다. 사후조사에서 이 사건의 이면에는 북한의 해커집단이 존재하는 것으로 추측되었습니다. 당시 방글라데시은행에서 무슨 일이 있었는지, 어떻게 해커집단이 대규모 강탈을 실현했는지에 대한 세부사항이 밝혀졌습니다.

When North Korean hackers almost pulled off a billion-dollar heist from Bangladesh Bank | The Daily Star
https://www.thedailystar.net/toggle/news/when-north-korean-hackers-almost-pulled-billion-dollar-heist-bangladesh-bank-2115317

When North Korean hackers almost pulled off a billion-dollar heist from Bangladesh Bank

How North Korea came within a million dollars of a billion dollar hack - Security News
https://www.bollyinside.com/news/how-north-korea-came-within-a-million-dollars-of-a-billion-dollar-hack

How North Korea came within a million dollars of a billion dollar hack - Security News

2016년 2월 5일(금) 20시 30분쯤, 방글라데시은행의 10층에서 프린터가 고장났습니다. 직원은 즉시 프린터의 고장을 알게 되었습니다만, 프린터의 고장 자체가 드문 일이 아니었기 때문에 크게 문제시하지 않았다고 합니다. 그러나 나중이 되어 이 고장이 약 1조 원 규모의 강탈계획의 첫 번째 사인이었다고 밝혀집니다.

Bangladesh Bank. https://commons.m.wikimedia.org/wiki/File:Bangladesh_Bank_(33398162476).jpg#mw-jump-to-license

라자루스 그룹으로 알려진 해커집단은 공격이 이루어지는 1년 전인 2015년부터 이미 방글라데시은행의 컴퓨터 시스템에 침입했습니다. 라자루스 그룹은 'Rasel Ahlam'이라는 가상의 인물을 만들어 은행에 입사지원을 했으며, 은행직원이 받은 메일에서 문서를 다운로드할 때 시스템이 바이러스에 감염된 것으로 보입니다. 이것이 2015년 1월의 일입니다.

그리고 5월 라자루스 그룹은 필리핀 최대 은행인 RCBC의 '쥬피터 스트리트' 지점에 4개의 계좌를 개설했습니다. 계좌를 개설하기에 앞서 사용된 운전면허증은 가짜였으며 개설자는 모두 동일한 직책 · 급여임에도 불구하고 소속된 회사는 별도였다는 점 등 부자연스러운 부분이 여럿 존재했지만 문제시되지는 않았습니다. 그리고 처음으로 500달러(약 55만 원)를 예금한 상태에서 4개의 계좌는 보류된 상태가 계속되었다고 합니다.

해커들이 시스템을 해킹한 후 1년 동안 몸을 숨기고 있었던 점에는 이유가 있습니다. 방글라데시은행에서는 계좌에서 행해진 모든 송금을 종이에 인쇄하는 백업방법을 가지고 있었으며, 그 작업은 10층의 프린터에서 이루어지고 있었습니다. 따라서 프린터에서 인쇄가 되는 순간에 해킹 사실이 밝혀질 우려가 있어서, 프린터를 제어하는 소프트웨어에 대한 해킹이 완료될 때까지인 1년 동안 해커들은 몸을 숨기고 있었던 것입니다.

프린터에 대한 해킹이 완료된 2016년 2월 4일(목) 20시경 해커들은 행동을 개시했습니다. 방글라데시은행의 뉴욕연방준비은행 계좌 잔금 거의 전부에 해당하는 총액 9억 5100만 달러가 마닐라에 위치한 RCBC은행의 계좌로 송금되었습니다. 방글라데시는 다음날 5일(금)부터 7일(일)까지가 공휴일이었으며, 마닐라는 2월 8일(월)은 구정의 휴일이었습니다. 따라서 송금이 이루어진 시기가 뉴욕에서는 4일(목) 아침이었지만, 사태가 발각된 시기는 9일(화)이 되었습니다. 뉴욕, 방글라데시, 마닐라의 시차를 이용하여 해커는 사실상 5일간의 공백 기간을 만들어내는 데 성공한 것입니다.

방글라데시은행의 프린터가 재가동되어 송금기록이 인쇄되었을 즈음에는 뉴욕연방준비은행의 계좌에 예치해 두었던 돈의 거의 전액이 송금된 것을 발견합니다. 그러나 방글라데시은행은 무엇이 일어났는지를 몰랐고 초기에는 송금된 돈은 되찾을 수 있는 것이라고 오인해 사태를 공개하지 않았습니다. 그러나 사이버보안 전문가인 Rakesh Asthana 씨에게 의견을 구한 결과, 송금 당시 은행시스템 'Swift'로의 액세스가 이루어졌으며, 송금을 취소할 수 없다고 판명났습니다. 해커는 Swift를 해킹한 것이 아닌 일반 은행원을 모방하여 액세스를 시도했다는 것. 이미 필리핀에 어느 규모의 돈이 도착했는데, 되찾기 위해서는 법원의 명령이 필요했던 방글라데시은행은 2월 하순에 소송을 제기했습니다. 이로 인해 사태가 만천하에 공개됩니다.

사태를 파악한 뉴욕연방준비은행은 은행시스템이 마닐라에 있는 RCBC은행 지점의 '쥬피터'라는 단어에 대해 경고가 울리도록 설정했습니다. 경고가 발생한 모든 거래의 지불이 검토되면서 많은 송금이 중단되었습니다. 그러나 일부 거래는 통과하게 됩니다.

한편, 조금 시간을 거슬러 올라간 2월 5일에는 RCBC은행에 개설된 4개의 계좌가 갑자기 움직이기 시작했습니다. 돈은 계좌 간 송금을 거쳐 환전회사에 송금되어 현지 통화로 교환되었고 은행에 다시 입금되었습니다. 그리고 해커 일부를 현금으로 인출하여 필리핀의 '솔레이어 리조트 & 카지노'라는 카지노 시설에서 돈세탁을 시작했습니다. 카지노에서는 현금이 카지노칩으로 교체되었고 도박을 거쳐 다시 현금으로 교환되기 때문에 추적을 차단할 수 있습니다. 솔레이어 외에도 '미다스'라는 카지노의 계좌로 뉴욕연방준비은행의 경고를 회피한 5000만 달러(약 600억 원)가 발견되었는데 그 중 3100만 달러는 카지노에서 프라이빗 제트로 떠난 Xu Weikang이라는 인물에게 넘어간 것으로 발각되었습니다.

방글라데시은행의 추적에 의해 도난당한 9억 5100만 달러 중 대부분을 되찾을 수 있었습니다만, 약 6500만 달러(약 780억 원)의 행방은 오리무중입니다.

또 이 사건을 일으킨 해킹그룹은 전 세계 컴퓨터에 악성코드를 감염시켜 몸값을 요구한 랜섬웨어 'WannaCry' 사건과 소니픽쳐스의 전체 시스템을 다운시킨 해킹사건과 동일범인 것으로 판단되고 있습니다.

More Signs North Korea May Be Behind Hacking of Sony Pictures - WSJ
http://online.wsj.com/articles/more-signs-north-korea-may-be-behind-hacking-of-sony-pictures-1417467267

More Signs North Korea May Be Behind Hacking of Sony Pictures

New evidence points to North Korean involvement in Sony Pictures hack | The Verge
http://www.theverge.com/2014/12/1/7316401/new-evidence-points-to-north-korean-involvement-in-sony-pictures-hack

New evidence points to North Korean involvement in Sony Pictures hack