지난 2월 방글라데시 중앙 은행에서 8천100만달러를 훔친 해커가 사용했던 멀웨어를 발견했다.
 
이 악성코드는 방글라데시 멀웨어 포럼에서 방위산업체 연구원들에 의해 발견되었고, SWIFT(Society for Worldwide Interbank Financial Telecommunication)시스템과 Alliance Access 백엔드를 타깃으로 제작된 것으로 보인다. SWIFT는 국제 은행간 지불 시스템이다.
 
해당 멀웨어는 네트워크를 사용해 사기 행위를 하고 금융 업계가 설치한 안전 루틴을 우회한 후, 범죄자들이 자금을 세탁하는데 충분한 시간을 가지기 위해 추적을 피할 수 있도록 설계되었다.
 
이 악성코드는 방글라데시 은행이 사용하는 SWIFT 터미널에 삽입되었고, 방화벽과 잘 맞지 않을 정도로 부실하게 구성된 네트워크 스위치를 익스플로잇했다. 멀웨어가 한번 설치되면, 뉴욕 연방준비은행의 외화보유계정으로부터 자금을 인출할 수 있게 된다.
 
악성코드는 자동으로 SWIFT의 Alliance Access와 오라클 백엔드로부터 메시지를 가로채며, 이를 통해 해커들은 자금 규모를 변경할 수 있게 된다. 이것 또한 SWIFT 시스템 내의 물리적인 안전장치들을 우회한다.
 
멀웨어를 발견한 연구원들은 “공격자들은 사기행위를 감추기 위해 데이터베이스와 메시지를 조작했지만 이것만으로는 충분치 않았다. SWIFT 네트워크 또한 확인 메시지를 생성하고 이 메시지들은 출력을 위해 전송되는데, 만약 사기행위와 관련된 내용이 출력된다면 금융기관 직원들이 알아차리게 된다. 이런 이유로 멀웨어는 또한 SWIFT 메시지를 가로챈 후 사기 행위를 덮기 위해 수동으로 복사된 메시지를 출력하도록 한다”라고 기록했다.
 
마침내 해커들은 훔친 자금 중 9억 5천만 달러를 얻으려고 했지만, 출력된 요청이 도이치 은행의 누군가에 의해 발견됐다. 도이치 은행은 곧바로 방글라데시 은행에 경고를 보냈고, 지불이 중단되어 8천100만 달러만 해외 은행 계좌로 송금되었다.
 
진술서에서 SWIFT는 공격자가 보안 시스템에 있는 취약점을 익스플로잇하지 않았고 로컬 터미널을 공격한 해커에 전적으로 의존했다고 말했다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 HSK 외신 기자>