지난 2015년 미국 샌프란시스코에서 열린 RSA 컨퍼런스에서 사이버 보안업체 시만텍 관계자가 제품을 발표하고 있다. (자료사진)
지난 2015년 미국 샌프란시스코에서 열린 RSA 컨퍼런스에서 사이버 보안업체 시만텍 관계자가 제품 관련 발표하고 있다. (자료사진)

북한 해커들이 은행 현금자동입출금기 서버를 해킹해 최근 2년간 수천만 달러를 탈취한 수법이 공개됐습니다. 서버에 악성프로그램을 심은 뒤 현금 인출 요청을 중간에서 가로채거나 허위 인출 명령을 승인하는 방법입니다. 조은정 기자가 보도합니다. 

북한 해커조직 라자루스가 현금자동입출금기를 무력화시킨 도구는 ‘트로잔 패스트캐시’라는 악성프로그램입니다.

미국 사이버 보안업체 시만텍은 지난 2016년부터 북한이 이 프로그램으로 아시아와 아프리카 지역 중소규모 은행들을 공격하면서 수천만달러를 탈취한 것으로 추정된다고 밝혔습니다. 

이 악성 프로그램은 ATM기에 입력된 현금 인출 요청을 중간에서 조작하는 것으로 분석됐습니다. 

[녹취:디마지오] “It provides fraudulent messages, it basically says OK, go ahead and dispense this amount of cash, so the bank doesn’t get the opportunity to actually stop prevent the transaction.”

시만텍의 위협정보 선임분석가인 존 디마지오 씨는 VOA와의 인터뷰에서 악성 프로그램이 특정 요청에 대해 이 만큼의 현금을 인출하라는 허위 명령을 보내면 은행은 해당 거래를 막거나 중단시킬 기회가 없다고 설명했습니다. 

시만텍은 북한 해커들이 주로 보안 수준이 취약할 것으로 예상되는 은행들을 공격했으며, 실제로 방어망이 뚫린 은행들은 보안패치 지원이 중단된 운영체계를 사용하고 있는 것으로 파악했습니다. 

[녹취:디마지오] “They keep coming up with new creative ways to steal money. They really took their time to learn the environment and to learn the system so they could execute this and do it successfully”

디마지오 선임분석가는 북한 해커들이 새로운 창의적인 방법으로 돈을 탈취하고 있고 이들은 공격을 성공시키기 위해 공격대상의 환경과 체계를 파악했다고 설명했습니다.

민주주의수호재단의 매튜 하 연구원은 북한이 사이버 공간에서 자금 확보에 집중하는 것은 대북 제재망이 조여오기 때문인 것으로 분석했습니다.

[녹취: 매튜 하] “They need to diversify the toolkit of evasion and money making business targeting crypto exchanges or cyber enabled thefts like the Bank of Bangladesh is a way for them to enlarge their toolkit”

매튜 하 연구원은 특히 북한은 제재회피와 자금 조달 수단을 다각화하기 위해 가상화폐 거래소를 공격하고 방글라데시 은행에 사이버 공격을 가했다고 지적했습니다. 

하 연구원은 북한이 계속해서 새로운 유형의 사이버 공격을 도입하면서 공격 흔적을 감추는데 뛰어난 능력을 갖고 있다고 밝혔습니다.

VOA 뉴스 조은정입니다.