北 연계 해킹조직, ATM 공격해 현금 탈취

지난 9월 6일 북한 해커 박진혁을 소니 해킹 사건의 주범으로 기소한다고 밝혔다. 사진은 연방수사국(FBI)이 이날 공개한 박진혁의 사진과 수배문. 사진=미 FBI 홈페이지

북한 해커들이 은행 현금자동입출금기 (ATM) 서버를 해킹해 최근 2년간 수천만 달러를 탈취한 수법이 공개됐다고 미국의소리(VOA) 방송이 지난 10일(현지시간) 보도했다.

북한 해커조직 라자루스가 현금자동입출금기(ATM) 를 무력화시킨 도구는 ‘트로잔 패스트캐시’(FASTCash)'라는 악성프로그램으로 이 코드를 심은 뒤 현금 인출 요청을 중간에서 가로채거나 허위 인출 명령을 승인하는 방법을 사용했다.

미국 사이버 보안업체 시만텍은 지난 2016년부터 북한이 이 프로그램으로 아시아와 아프리카 지역 중소규모 은행들을 공격하면서 수천만 달러를 탈취한 것으로 추정된다고 보도에서 전했다. 이 악성 프로그램은 ATM기에 입력된 현금 인출 요청을 중간에서 조작하는 것으로 분석됐다.

시만텍의 위협정보 선임분석가인 존 디마지오 씨는 VOA와의 인터뷰에서 악성 프로그램이 특정 요청에 대해 이 만큼의 현금을 인출하라는 허위 명령을 보내면 은행은 해당 거래를 막거나 중단시킬 기회가 없다고 설명했다. 시만텍은 북한 해커들이 주로 보안 수준이 취약할 것으로 예상되는 은행들을 공격했으며, 실제로 방어망이 뚫린 은행들은 보안패치 지원이 중단된 운영체계를 사용하고 있는 것으로 파악했다.

라자루스는 사이버 범죄와 스파이 활동에 적극적으로 참여하는 공격 그룹으로 미국 법무부는 이 조직이 2014년 소니픽처스 해킹 사건을 주도했으며 북한과 연계돼 있다는 결론을 내렸다. 지난 2016년 방글라데시 중앙은행을 공격해 8100만 달러를 훔친 것도 이 단체의 소행인 것으로 알려지고 있다.

민주주의수호재단의 매튜 하 연구원은 북한이 사이버 공간에서 자금 확보에 집중하는 것은 대북 제재망이 조여 오기 때문인 것으로 분석했으며 특히 북한은 제재회피와 자금 조달 수단을 다각화하기 위해 가상화폐 거래소를 공격하고 방글라데시 은행에 사이버 공격을 가했다고 지적했다.