파이어아이 부성현 수석은 “공격자들이 중앙은행을 타깃으로 하는 이유는 외국 정부의 통화정책을 미리 파악할 수 있는 정보들과 국제 무역에 중요한 금융 내부자 정보를 가지고 있기 때문”이라며 “사이버범죄자들은 자신의 투자 포트폴리오를 재조정해 수익을 얻거나 훔친 정보를 거래하고 있다. 이를 위해 중앙은행 네트워크뿐만 아니라 유명 인사나 중앙은행 웹사이트 방문자 정보도 타깃으로 하고 있다”고 설명했다.
지난 2015년 1월부터 사이버 범죄자들은 중앙은행 네트워크를 손상시키고 국제은행간통신협회(SWIFT)를 사용해 수백만 달러의 사기 거래 범죄를 저지른바 있다. 일단 사이버 범죄자가 네트워크 안으로 접근하면 은행이 전송하는 데이터의 무결성을 보장하기 위해 구현한 검증 루틴을 우회할 수 있고 이를 통해 범죄자는 예금액이나 계좌와 같은 합법적인 거래 데이터를 조작하거나 새로운 거래를 추가할 수 있는 위험성이 크다.
파이어아이는 최근 대규모 사기성 SWIFT 거래를 수행하기 위해 금융기관을 손상시킨 3가지 침입 작전을 관찰해 왔다. △북한과 연계된 공격 △동유럽 사건 △CARBANAK 사건 등이 그것이다.
방글라데시 은행과 베트남의 티엔 퐁 은행(TPBank) 사건에서 SWIFT 공격에 사용된 악성코드 변종, 특히 NESTEGG 및 DYEPACK은 이전에 북한의 행위자와 관련이 있었던 다른 악성코드와의 유사성을 보여주는 것으로 조사됐다.
북한 행위자와 관련된 다른 악성 코드 변종은 MACKTRUCK, PEACHPIT 및 관련 백도어를 포함하며 그 유사점은 다음과 같다. △파일 지우기 및 삭제 기능의 유사성 △여러 샘플에서 공유된 그들만의 고유 한 뮤텍스 및 암호화 키를 사용한 점이다.
이전에 MACKTRUCK에 감염된 시스템에서도 NESTEGG 감염 지표가 관찰되었고, MACKTRUCK과 NESTEGG는 각각 비교적 적은 수의 사건에서 관찰되었기 때문에 이 중복은 우연이 아닐 것으로 보고 있다. 이 경우 이전에 관측 된 전술 도구가 북한에 연결되어 있다는 징후의 일치성은 다수의 별개 행위자가 이를 사용하고 있을 가능성에 대해 상당한 무게가 실리고 있다.
공개적으로 보고 된 DYEPACK 변종 중 하나는 8개의 금융 기관 SWIFT 코드를 나열했으며, 이 메시지의 후속 조작을 위해 발신자가 코드 중 하나와 일치하는 SWIFT MT950 메시지를 식별하는 데 사용되었다. 일반적으로 계정을 관리하는 조직에서 계정의 소유자에게 전송되는 MT950 메시지 유형은 계정의 잔액과 거래에 대한 정보를 제공하는 데 사용된다. 은행에 배포 된 경우 맬웨어는 나열된 8개 기관의 SWIFT 메시지를 피해자 은행의 계정으로 숨길 수 있다.
◇동유럽 사건 분석
지난 2016 년 6 월, 파이어아이 인텔리전스는 알려지지 않은 위협 요인이 여러 개인 우크라이나 기반 금융 기관이 SWIFT 인터페이스를 조작하려고 시도했음을 보고한 바 있다.
활동은 2015년 11월 말부터 스피어 피싱 이메일로 시작됐다. 공격자는 Cobalt Strike Beacon, SoftPerfect Network Scanner, Mimikatz 및 기타 여러 상용 도구를 사용해 피해자 네트워크를 감염시켰다. 또한 백도어와 리버스 셸을 포함한 심플한 커스텀 툴 등 간단한 사용자 지정 도구를 사용했다.
공격자는 SWIFT 트랜잭션 레코드를 조작하기 위해 GOLDMINE 맬웨어를 사용했다. GOLDMINE은 특정 특성을 가진 SWIFT 트랜잭션 레코드를 공격자가 지정한 위치로 변경하게 되며 이는 표면 상 사기 거래를 숨기기 위한 것이다. GOLDMINE은 DYEPACK 멀웨어의 코드 기반을 가지고 있다. 공격자는 트랙을 감추기 위해 이전에 관찰되지 않은 와이퍼 도구를 사용했다.
2016년 10월에 한 보안업체는 ‘Odinaff’라는 악의적인 캠페인에 대해 보고한 적이 있으며 이 캠페인은 미국, 홍콩, 호주, 영국 및 우크라이나에 위치한 금융 기관을 2016년까지 대상으로 한 것으로 추정하고 있다. FireEye Intelligence는 우크라이나 은행에 대한 공격이 Odinaff 활동과 두 가지 공격 세트에 포함된 툴의 유사성으로 관련이 있다고 판단했다. 그리고 이 사건들은 북한 관련 활동과 유사할 것으로 판단하고 있다.
◇CARBANAK 악성코드 사건 분석
2015년 타 보안업체에서 Carbanak 악성코드를 사용해 주로 러시아, 미국, 독일, 중국 및 우크라이나에 있는 100개 이상의 은행에 영향을 미친 것으로 공개하면서 이 활동으로 인한 총 재정적 손실은 10억 달러에 달할 것으로 추정했다.
공격자들은 자신의 네트워크에서 사기성 SWIFT 전송메시지를 만들고, 새로운 금융 계좌를 만들고, 계정간에 돈을 이체하고, ATM 네트워크에서 현금을 분배하기 위해 또 다른 피해자를 이용했다. 특히 공격자는 비디오 녹화를 통해 피해자의 작업을 광범위하게 프로파일 링 한 것으로 보고됐다.
FireEye Intelligence는 이 활동에 사용 된 전술에 대해 지난 2013년부터 동유럽에서 보고한 ATM시스템을 통한 금융권 침투 공격과 연관이 있다고 판단했다.
이러한 금융기관 사이버공격에 대한 예방책으로 파이어아이 부성현 수석은 “APT 보안 솔루션을 통한 가시성 확보와 금융 거래를 담당하는 시스템 내 화이트리스팅(Whitelisting), 접근 및 활동에 대한 주기적인 모니터링을 포함한 강력한 보안 수단을 구현해야 한다”고 밝혔다.
또 그는 “네트웍 대역 세분화와 강력한 망분리를 사용하면 공격자가 SWIFT 시스템에 도달하는 것을 막는데 도움이 된다. 또 사이버 위협에 대한 인식을 재고시켜 줄 직원 교육 및 예방 정책을 구현하는 것이 중요하다”며 “방글라데시 은행 침투는 직원 자격 증명을 훔치는 데 시작된 것처럼 Credential 특성 및 유지관리에 강력한 정책이 필요하다. 자격 증명의 복잡성과 수시 변경 등이 필요한 것이다. 그리고 투팩터(2-Factor) 또는 다중 자격 인증을 구현해 손상되더라도 중요 시스템에 대한 Lateral Movement 예방이 중요하다”고 강조했다.
★정보보안 대표 미디어 데일리시큐!★
