전문가 “北, 대북제재망 조여오자 사이버 공간에서 자금 확보 집중”
북한 해커들이 은행 현금자동입출금기(ATM) 서버를 해킹한 수법이 파악됐다고 미국의소리(VOA) 방송이 10일 보도했다.
VOA에 따르면 북한 해커조직 ‘라자루스(Lazarus)’는 최근 2년간 ATM 서버를 해킹해 수천만 달러를 탈취했다. ‘트로잔 패스트캐시’라는 악성 프로그램을 서버에 심은 뒤 현금 인출 요청을 중간에서 가로채거나 허위 인출 명령을 승인하는 방법이었다.
미국의 사이버 보안업체 시만텍은 북한은 지난 2016년부터 이 프로그램을 이용해 아시아와 아프리카 지역의 중소규모 은행들을 공격해 수천만 달러를 탈취한 것으로 추정된다고 밝혔다.
이 악성 프로그램을 ATM에 입력된 현금 인출 요청을 중간에서 조작하는 방식으로 서버를 무력화시켰다.
북한해커들은 주로 보안 수준이 취약할 것으로 예상되는 은행 서버를 공격했다. 실제로 방어망이 뚫린 은행들은 보안패치 지원이 중단된 운영체계를 사용하는 것으로 파악됐다.
시만텍의 위협정보 선임분석가인 존 디마지오 씨는 VOA에 “악성 프로그램이 특정 요청에 대해 이 만큼의 현금을 인출하라는 허위 명령을 보내면 은행은 해당 거래를 막거나 중단시킬 기회가 없다”고 설명했다.
또한 그는 “북한해커들은 계속해서 돈을 탈취하기 위한 창의적 수법을 고안해 내고 있다”며 “해킹에 성공하기 위해 공격 대상의 환경과 체계도 자세히 파악하려고 하고 있다”고 경고했다.
민주주의수호재단의 매튜 하 연구원은 “북한이 사이버 공간에서 자금 확보에 집중하는 것은 대북 제재망이 조여오기 때문”이라고 분석했다. 그는 특히 북한이 제재회피와 자금 조달 수단을 다각화하기 위해 가상화폐 거래소를 공격하고 방글라데시 은행에 사이버 공격을 가했다고 지적했다. 북한은 계속해서 새로운 유형의 사이버 공격을 도입하면서 공격 흔적을 감추는 데 뛰어난 능력을 갖고 있는 것으로 알려졌다.
라자루스는 2014년 미국 소니 픽처스 해킹과 작년 5월 전 세계를 강타한 워너크라이(WannaCry) 악성코드 공격 등을 저지른 것으로 추정된다.
양연희 기자 yeonhee@pennmike.com