북한의 라자루스 그룹, 아시아와 아프리카의 ATM 공격 2018.11.09

오래된 AIX 운영하고 있던 중소 규모 은행들 전부 피해 입어
수천만 달러에 달하는 피해액...FBI와 국토안보부 등 권고문 발표


[보안뉴스 문가용 기자] IT 및 보안 업체 시만텍(Symantec)이 북한의 악명 높은 해킹 그룹인 라자루스(Lazarus)가 2016년부터 사용해왔던 멀웨어를 공개했다. 북한 정부는 라자루스 그룹의 이 멀웨어를 통해 아시아와 아프리카의 중소 규모 은행들의 ATM을 해킹해 수천만 달러를 현금으로 훔쳐냈다고 한다.

[이미지 = iclickart]


시만텍이 발표한 보고서에 따르면 이 멀웨어는 ATM을 통해 은행 시스템 내 스위치 서버로 전달되는 현금 인출 요청을 중간에서 가로채고, 멋대로 거래를 승인한다고 한다. 그러니 불법적인 인출 요청을 해도 이 멀웨어만 있으면 현금을 받을 수 있게 되는 것이다.

이 멀웨어는 실행파일 형태로 만들어져 있으며, IBM의 AIX 운영체제를 기반으로 하고 있는 애플리케이션 서버의 프로세스들에 주입될 수 있다. 라자루스 그룹이 현재까지 침해하는 데 성공한 스위치 애플리케이션 서버들 전부 AIX 운영체제가 설치되어 있었다고 한다. 그것도 더 이상 IBM의 지원이 이뤄지지 않는 버전의 AIX였다.

시만텍의 위협 첩보 분석가인 존 디마지오(Jon DiMaggio)는 “그렇기에 이러한 공격 수법을 통해 교훈을 얻어야 할 건 금융권만이 아니라, 오래되고 낡은 장비나 OS, 소프트웨어를 사용하고 있는 모든 조직들”이라고 말한다. “결국 업데이트가 되지 않아 알려진 취약점을 가지고 있는 시스템은 해킹을 당할 수밖에 없습니다.”

그러면서 디마지오는 “네트워크와 시스템을 업그레이드 하는 비용과, 이런 식의 공격을 당해 잃는 돈, 명성, 고객 신뢰의 비용 중 어떤 게 더 큰가 진지하게 비교해봐야 한다”고 설명한다. “돈과 개인정보 모두를 다루는 금융 기관이라면 소프트웨어와 OS의 최신화가 기본이 되어야 합니다. 지원이 되지 않을 정도로 옛날 버전을 사용한다는 건 금융 기관으로서의 책임을 이행하지 않은 것이죠.”

미국 정부는 라자루스 그룹의 ATM 공격을 패스트캐시(FastCash) 캠페인이라고 부르고 있다. 지난 10월 2일 FBI와 국토안보부, 재무부는 합동으로 기술 권고문을 발표하며 “패스트캐시 공격으로 은행권에서 수천만 달러에 달하는 피해가 발생하고 있다”고 경고했다. 그러면서 “라자루스 그룹은 2017년과 2018년, 20개가 넘는 국가의 ATM 기기들로부터 동시다발적인 사기성 현금 인출 공격을 실시했다”고 사례를 들었다.

시만텍은 “이 2017년 사건과 2018년 사건 모두에서 라자루스 그룹은 은행 애플리케이션 서버에 멀웨어를 주입시켰다”며 “그렇게 함으로써 가짜 ATM 인출 요청을 중간에서 가로채고, 승인할 수 있었다”고 설명했다. 문제의 멀웨어를 시만텍은 트로얀패스트캐시(Trojan.Fastcash)라고 부르며, “크게 두 가지 기능을 가지고 있다”고 말한다.

“하나는 ATM으로부터 들어오는 모든 트래픽 내의 제1차 계정 번호(Primary Account Number, PAN)을 모니터링해서 읽어내는 겁니다. 트로얀패스트캐시는 공격자들의 것으로 알려진 PAN이 포함된 모든 트래픽을 차단하도록 설계되어 있습니다. 그 다음으로는 사기성 요청에 대한 가짜 승인을 만들어 보냅니다. 그럼으로써 공격자들이 보내는 가짜 인출 요청에 현금이 반드시 나오도록 하는 것이죠. 실제로 공격에 당한 계정들의 잔고는 전부 0에 가까웠습니다.”

디마지오에 의하면 “멀웨어가 보내는 응답은 ISO 8583 문서와 같은 형식을 갖추고 있다”고 한다. ISO 8583은 은행과 금융 기관들 사이에서 사용되는 일종의 통신 표준이다. “공격자들은 이 표준을 흉내 냄으로써 공격의 성공률을 높이고, ATM과 엮인 시스템을 속일 수 있었습니다.”

현재까지 시만텍은 트로얀패스트캐시의 여러 버전을 찾아냈다. 전부 응답 로직에서 조금씩 차이를 보였다. 하지만 왜 굳이 라자루스 공격자들이 응답 로직을 바꿔가며 공격해야 했는지는 파악하기 힘들다고 한다.

북한의 라자루스는 주로 아시아와 아프리카의 중소 규모 은행들을 공격해왔다. 보안에 투자를 많이 할 수 없는 곳들이었다. “그런 조직들에서 지원이 끝난 소프트웨어나 OS를 발견하는 건 그리 어려운 일이 아닙니다. 실제 피해를 입은 조직들 전부에서 지원이 끝난 AIX가 공통적으로 발견되기도 했고요. 북한이 아시아와 아프리카 특정 국가들을 정치적으로 노린 게 아니라, 취약한 AIX가 있는 조직들을 공격한 거라고 볼 수 있습니다.”

하지만 라자루스 해커들이 애초에 어떤 방식으로 스위치 애플리케이션 서버에 접근할 수 있었는지는 알려지지 않고 있다. 가장 가능성이 높은 시나리오는, 스피어 피싱 이메일을 통해 내부 직원의 크리덴셜을 훔쳐내고, 이를 통해 네트워크에 접근했다는 것이다. “네트워크 환경에 대한 학습도 사전에 철저하게 했을 것으로 보입니다. 그런 지식에 정상적인 크리덴셜까지 합쳐지면 공격자는 자유롭게 원하는 공격을 할 수 있게 됩니다.”

3줄 요약
1. 돈독 오른 북한 정부, 아시아와 아프리카 은행의 ATM 공격.
2. 공격자들의 인출 요청을 보내면 멀웨어가 그걸 가로채서 은행에 못 가도록 하고, 가짜 승인 요청을 생산해 ATM이 현금을 쏟아내도록 함.
3. 피해 은행 전부에서 오래된 OS 발견됨. 업데이트만 했다면...

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>


HTTP 포트 공격 52.91%, 10월 사이버공격 1위

FIDO 얼라이언스, 퍼블릭 세미나 서울 개최