2016년 2월 방글라데시 중앙은행은 인류 역사상 가장 큰 해킹 사건의 주인공이 됐습니다. 해커들은 방글라데시 은행의 시스템은 해킹하여 은행이 미국연방준비은행에 예치해 뒀던 예금을 자신들의 계좌로 송금했다고 합니다. 해커들은 해킹에 필요한 충분한 정보가 수집되지 이 은행의 예치금을 순식간에 필리핀, 스리랑카 등 해외로 빼돌리게 되는데, 그 규모가 자그마치 1조원(8억 5,100만달러)에 달했다고 합니다. 하지만 안타깝게도(?) 해커들은 바보같은 실수(오타) 때문에 1조 원 중 단 900억원 정도만 손에 쥘 수 있었습니다. 오늘은 역사상 최악의 피해를 입은 방글라데시 중앙은행 해킹사건의 내막에 대해서 자세히 알아보도록 하겠습니다.
▼해커들은 방글라데시 중앙은행을 해킹하기 위해 치밀한 계획을 세웠습니다. 해커들은 워터링홀 공격(표적 집단이 자주 방문하는 웹사이트에 악성 코드를 심어 놓고 해당 웹사이트를 방문할 때까지 기다리는 해킹 수법)을 통해 방글라데시 은행 직원들의 PC에 악성코드를 감염시켰습니다.
▼이후 해커들은 악성코드에 감염된 직원들의 PC를 숙주로 삼아 은행의 중앙시스템까지 침투 백도어를 만듭니다. 백도어까지 만들고나면 해커는 마치 제집 드나들 듯 은행의 시스템을 훔쳐보고 분석할 수 있기 때문에 해킹에 필요한 환경이 만들어진 것입니다.
▼이후 해커들은 수주동안 은행시스템과 네트워크를 분석하여 은행이 송금에 사용하는 계정정보와 인증정보 등을 수집하게 됩니다. 여기에 추가로 메일서버와 금융 거래기록을 담당하는 서버등 접근이 가능한 모든 시스템에 침투 해킹에 도움이 될만한 단서들을 수집했고 자신들의 흔적을 지우기 위한 작업도 미리 준비했습니다.
▼이렇게 비밀리에 모든 자료수집과 준비가 끝나자 해커들은 은행 내부의 보안시스템을 무력화 시킨 후 은행의 담당자로 위장 연방준비은행에 보관된 예치금을 자신들의 해외 계좌로 송금 한 것입니다. 미연방준비은행에서는 국제 송금에 사용하는 스위프트망으로 통해 은행코드가 포함된 정상적인 송금요청이 오자 의심없이 자금을 해외계좌로 송금합니다.
▼해커들이 송금 요청한 금액은 필리핀으로 8,100만달러, 스리랑카 은행으로 2,000만 달러 등 총 1조원에 이르는 규모였는데, 이 과정에서 해커들은 결정적인 실수를 하게 됩니다. 이 실수 때문에 해커들은 필리핀은행으로 송금한 8,100만 달러(약 900억원) 해킹에 성공하고 나머지 9,100억원은 은행에서 인출을 막는 바람에 허무하게(?) 눈앞에서 날려버리게 됩니다. 이들은 자선단체로 위장한 기관에 돈을 송금을 하면서 수신인명에 재단을 뜻하는 Foundation이란 단어를 Fandation 으로 잘못적었는데, 이를 수상하게 여긴 스리랑카 은행원의 신고로 해커들이 송금한 돈의 인출이 정지된 것입니다.
▼스리랑카 은행원의 신고로 해킹을 당한 사실을 감지한 방글라데시 은행은 뒤늦게 자금회수에 나섰지만, 필리핀 은행으로 송금된 8,100만달러는 이미 카지노에서 카지노칩으로 세탁이 된 후였기 때문에 계좌에 남아 있던 잔돈 6만 8,000달러만 회수할 수 있었습니다. 하지만 나머지 9,100억원은 다시 되찾을 수 있었으니 그나마 위안을 삼을 수 있었습니다.
▼왠지 내돈은 아니지만 진한 아쉬움(?)을 남기는 이번 해킹사건은 인출에 성공한 900억원만으로도 역사상 최대 금액의 은행해킹사건으로 기록 됩니다. 허탈하게 900억원을 허공에 날린 방글라데시 중앙은행과 미국연방은행 그리고 FBI와 NSA는 범인을 검거하기 위해 눈에 불을치고 단서를 찾아 나서게 됩니다. 하지만 사건 발생 2년이 지난 지금도 범인들을 검거하지 못했다고 합니다.
▼러시아의 보안업체 카스퍼스키랩은 2017년 그들이 1년간 자체적으로 이번 해킹사건을 조사, 유력한 용의자를 발표했습니다. 이 회사는 이번 해킹의 범인으로 '라자루스(Lazarus)'를 지목했는데, 이번 사건에 사용된 수법이 2013년 한국의 3.20 사이버 공격과 2014년 소니 픽처스 해킹을 일으킨 '라자루스'와 동일했기 때문입니다.
▼카스퍼스키랩은 라자루스를 북한의 해킹단체로 추정하기도 했습니다. 그 근거로 라자루스가 다른 해킹에서 실수로 남긴 그들의 서버정보를 제시했습니다. 그들이 남긴 서버정보(IP주소)는 북한에서 사용되는 것으로 확인됐습니다. 하지만 이 회사는 라자루스가 실수로 위장해, 북한 IP주소를 고의로 남겼을 수도 있다고 전했습니다.