방글라데시 중앙은행은 지난해 2월 15일 국제은행 간 통신협정 스위프트(SWIFT)를 통해 미국 중앙은행인 연방준비제도이사회(연준)의 예치금 가운데 9억5100만 달러(약 1조596억 원)를 필리핀과 스리랑카 은행 등 35개 계좌로 이체해달라고 요청했다.
연준은 8100만 달러(약 902억5000만 원)를 필리핀 은행의 개인 계좌 4곳으로 송금했다. 송금은 순조롭게 진행됐다. 연준은 이어 2000만 달러를 스리랑카 은행의 샤리카 재단 계좌로 보냈다. 그런데 이 과정에서 연준은 이 재단의 영어 철자가 틀려 있다는 사실을 발견했다. 계좌 이름 가운데 재단을 뜻하는 ‘foundation’이 ‘fandation’으로 잘못 기재돼 있었던 것.
중앙은행이라면 저지르기 힘든 철자 오류였다. 연준은 방글라데시 중앙은행의 이체 요청이 이상하다고 판단해 남은 30개 계좌로의 송금을 중단했다. 스리랑카 은행도 인출을 중지했고, 이 덕에 방글라데시 중앙은행은 돈을 회수할 수 있었다.
하지만 필리핀 은행의 개인 계좌들에 송금된 8100만 달러는 다시 중국계 필리핀 사업가의 계좌로 이체됐고, 이후 필리핀 화폐인 페소로 환전돼 필리핀 카지노로 흘러들어가 찾을 수 없었다. 이 사건으로 아티우르 라흐만 방글라데시 중앙은행 총재가 옷을 벗었다. 외환보유액이 28억 달러인 방글라데시로선 엄청난 피해였기 때문이다.
소니 픽처스 사이버 공격과 유사
영화 같은 이 사건은 역대 사이버 금융 절도 사건 가운데 최대 규모였다. 특히 해커들이 방글라데시 중앙은행의 네트워크에서 SWIFT 계좌 정보를 빼내 이체에 활용했다는 점에서 국제금융계를 충격에 빠뜨렸다. 세계 최대의 국제은행 간 국제결제시스템망인 SWIFT가 뚫렸기 때문이다.
SWIFT를 사용하는 금융기관은 200여 개국 1만1000여 곳에 달한다. 해커들은 방글라데시 중앙은행 네트워크에 멀웨어(정보를 캐내려고 심어둔 악성코드)를 설치해 SWIFT 정보를 빼낼 수 있었다. 사건 발생 직후 SWIFT는 회원 은행들에게 소프트웨어를 개선할 것을 긴급 권고했다.
국제 민간 사이버 보안업체들은 그동안 이 사건을 저지른 배후로 북한이 의심된다고 지적해왔다. 미국 보안업체 시만텍은 방글라데시 중앙은행 사이버 절도 사건이 2014년 미국 영화 제작사 소니 픽처스 엔터테인먼트(소니 픽처스)를 대상으로 한 사이버 공격과 유사하다고 분석했다. 당시 북한은 소니 픽처스가 제작한 영화 ‘더 인터뷰’를 해킹해 개봉 전 시중에 유포한 혐의를 받았다. 이 영화는 김정은 암살을 소재로 했다.
시만텍은 또 해킹에 사용된 멀웨어가 지난해 12월 베트남 은행에서 SWIFT를 통해 100만 달러 송금을 거짓 지시한 사건에도 쓰였다고 지적했다. 영국 보안업체 BAE 시스템스 역시 방글라데시 중앙은행의 사이버 공격 배후와 동일한 해커가 베트남 은행에서 활동했다는 사실이 관찰됐다고 밝히기도 했다. 미국 사이버 보안업체 파이어아이 또한 방글라데시 중앙은행 사이버 절도 사건에 해커그룹 셋이 관여됐으며 그중 둘은 각각 파키스탄, 북한 조직으로 확인됐다고 밝혔다.
영구미제 같던 이 사건이 마침내 해결의 실마리를 찾은 것으로 보인다. 미국 연방수사국(FBI)과 검찰은 이 사건의 배후로 북한을 지목하고, 해킹 중개 구실을 한 중국 브로커들을 기소하는 것을 검토하고 있다. 미국 ‘월스트리트저널(WSJ)’은 FBI와 검찰이 이 사건을 수사 중이며, 만약 기소한다면 사이버 절도를 기획하고 중개 구실을 맡았던 중국인 브로커들이 목표가 될 것이라고 보도했다. WSJ는 미국 수사기관의 이런 생각은 민간 사이버 보안업체의 견해와 일치한다고 전했다.
리처드 레짓 미국 국가안보국(NSA) 부국장은 3월 21일 민간 싱크탱크 아스펜연구소 주최로 열린 사이버 범죄 토론회에 참석해 “방글라데시 중앙은행 사이버 절도 사건의 배후는 북한일 가능성이 있다”면서 “민간 사이버 보안업체들의 분석이 사실인 것으로 보인다”고 말했다.
미국 정부 고위 관리가 이런 견해를 밝힌 것은 처음이다. 중국 브로커들에 대한 기소가 이뤄질 경우 미국 재무부는 지난해 9월 랴오닝 훙샹그룹의 최대주주이자 최고경영자(CEO)인 마샤오훙에 대한 제재와 비슷한 조치를 단행할 것으로 보인다. 랴오닝 훙샹그룹은 북한의 핵·미사일 개발에 쓰이는 물자 거래를 지원한 것으로 드러나 마 회장 등 회사 경영진 3명이 미 재무부의 블랙리스트에 올랐다.
31개국 104개 기관의 전산망 공격
시만텍 등 민간 사이버 보안업체들이 지목한 이 사건의 범인은 북한 해킹 전문조직 래저러스 그룹(Lazarus Group)이다. 래저러스 그룹은 ‘로더(Loader)’라는 소프트웨어를 사용해 전산망을 뚫고 들어가 멀웨어를 심는 등 사이버 공격을 벌여왔다.래저러스 그룹은 지난해 10월부터 최근까지 미국, 폴란드, 멕시코, 브라질, 우루과이, 칠레 등 31개국 104개 기관의 전산망을 공격했으며 공격 대상은 주로 은행이었고, 작은 통신회사나 인터넷업체도 목표 대상이 됐다. 사이버 보안 전문가들은 래저러스 그룹이 폴란드 은행 20여 곳을 해킹하는 과정에서 남긴 아이피(IP)를 분석한 결과 세계은행, 유럽중앙은행(ECB) 등까지 해킹 리스트에 올라온 사실을 확인했다. 래저러스 그룹은 2009년부터 활동해온 것으로 파악된다.
래저러스 그룹이 저지른 것으로 추정되는 각종 해킹 사건을 보면 2009년 우리나라 정부기관과 은행 등 주요 웹사이트를 다운시킨 7·7 디도스(DDos) 공격부터 2013년 NH농협 등 우리나라 은행과 방송사, 통신사 등을 대상으로 전산망을 마비시키는 등 상당한 피해를 입힌 3·20 사이버 공격까지 다양하다.
북한은 그동안 사이버전을 위해 해커를 적극 양성해왔다. 북한은 현재 사이버사령부를 설치해 군과 노동당 산하 7개 해킹조직에 전문인력 1700여 명을 두고 있다. 이와는 별도로 해킹 지원조직 10여 개의 인력 6000명을 더하면 전체 사이버 인력은 7700여 명이나 된다. 북한은 평양의 과학영재학교인 금성중학교 등에서 컴퓨터 집중교육을 통해 ‘사이버 전사’를 양성한다.
이들은 ‘미림대학’이라고 부르는 총참모부 산하 ‘지휘자동화대학’이나 ‘모란봉대학’에서 3~5년간 교육을 받고 해커 등으로 활동한다. 김정은은 2013년 “사이버전은 핵·미사일과 함께 인민군대의 무자비한 타격 능력을 담보하는 만능의 보검”이라고 강조하기도 했다.
북한 해커들은 최근 벌어진 각국 은행에 대한 해킹 사례를 볼 때 사이버 절도 등 ‘외화벌이’에도 나서고 있는 것으로 보인다. 에릭 호 파이어아이 아시아·태평양지역 사장은 “북한은 국제사회의 대북제재에 따른 경제적 손실을 만회하고자 금융 사이버 범죄를 이익 창출 도구로 이용하고 있다”고 지적했다.
이런 맥락에서 볼 때 래저러스 그룹은 새로운 유형의 ‘사이버 절도단’이라고 할 수 있다. 래저러스 그룹의 구성 인원은 알 수 없지만 활동 지역은 중국 선양, 창춘, 단둥 지역 등으로 추정된다. 이들은 중국 기업의 평범한 소프트웨어 엔지니어로 위장 취업하는 등 철저하게 해커 신분을 감추고 있다.
물론 이들의 해킹 활동을 비호하는 중국 해커조직이나 기업도 있는 듯하다. 아무튼 북한 해커의 활동이 앞으로 더욱 활발할 것이 분명한 만큼 우리나라도 이에 대한 철저한 대비가 필요하다.