방글라데시 중앙은행과 베트남 상업은행을 해킹한 조직이 만든 악성코드에서 KB국민은행 스위프트 코드가 발견됐다. 해킹 작전에 국민은행을 이용하거나 표적으로 삼았을 가능성이 점쳐진다. 해당 악성코드에는 2014년 소니픽처스, 2013년 6월 25일 국내 방송사에 피해를 입힌 것과 유사한 함수가 들어있다.
18일 복수의 보안전문가는 최근 입수한 베트남 상업은행 해킹 사건에 쓰인 악성코드에서 KB국민은행 국제은행간통신협회(스위프트·SWIFT) 코드를 발견했다. 스위프트는 세계 최대 은행 간 국제결제시스템망이다.
해커는 지난해 12월과 올 2월 베트남 상업은행과 방글라데시 중앙은행을 해킹해 자금을 이체했다. 공격자는 2월 방글라데시 중앙은행 뉴욕연방준비은행 계좌에서 필리핀과 스리랑카로 각각 8100만달러(약 955억원)와 2000만달러(약 236억원)를 이체했다. 방글라데시 중앙은행이 회수에 나섰지만 필리핀으로 이체된 자금을 찾지 못했다. 베트남 상업은행은 이보다 앞선 지난해 12월 공격당한 것으로 드러났다. 금융권과 보안전문가는 영화에서나 보던 세기의 해킹 사건으로 보고 있다.
스위프트는 최근 방글라데시 해킹 사건이 단일 사건이 아니라 복수 은행을 목표로 한 광범위한 작전이라고 분석했다. 스위프트는 국경 간 자금 결제를 위해 하루 평균 250만개 메시지를 처리한다. 세계 200개 이상 국가에 1만1000개 금융기관이 스위프트를 사용한다. 각 은행은 고유 스위프트 코드를 갖는다. 스위프트에 자금 이체 메시지를 보내 거래한다.
사이버전 전문 연구그룹 이슈메이커스랩은 베트남 상업은행을 공격한 악성코드에서 KB국민은행 스위프트 코드를 발견했다. 해당 악성코드는 8개 은행 특정 조건에 해당하면 거래를 시도한다. 악성코드는 KB국민은행(한국), UOB은행(싱가포르), 호주·뉴질랜드은행(호주), 미츠비시도쿄UFJ은행, 미즈호코퍼레이트 은행(일본), 중국공상은행(베트남), 유니크레딧은행(이탈리아), 중국공상은행 뉴욕(미국) 등 8곳 스위프트 코드를 포함했다.
이를 인지한 KB국민은행은 지난달 말 스위프트망 연결 단말기 점검을 실시했다. KB국민은행은 “스위프트망 단말기는 폐쇄망으로 운영하고, 인터넷과 내부 시스템이 연결되지 않아 악성코드에 감염될 위험이 낮다”며 “향후에도 스위프트 단말기 관리를 강화하겠다”고 밝혔다. 또 “악성코드에 감염된 스위프트 단말에서 국민은행 스위프트 코드로 자금을 이체할 경우 중간 가로채기가 목적으로 파악된다”며 “국민은행 스위프트 코드가 공격 목표를 의미하지 않는다”고 설명했다.
사이먼 최 이슈메이커스랩 대표는 “공격자는 스위프트 메시지를 조작하는 방법으로 특정 은행 계좌에 금액을 송금할 수 있다”며 “은행원이 보는 화면에서 거래 금액을 변조하는 방법 등으로 해킹을 은폐했을 것으로 추정된다”고 설명했다. 그는 “베트남 상업은행 공격에 쓰인 악성코드가 과거 북한 소행으로 알려진 소니픽처스나 국내 언론사를 공격한 것과 파일 삭제 함수 진행 코드가 유사하다”며 “같은 조직으로 단언하기 이르지만 유사성이 발견돼 예의주시하고 있다”고 덧붙였다.
최 대표는 “2014년 소니픽처스 공격 후 관련 악성코드가 많이 공유돼 이를 일부 이용했을 가능성도 있다”며 “국내 공격에 쓰인 악성코드까지 히스토리가 연결된다”고 덧붙였다.
김인순 보안 전문기자 insoon@etnews.com