“북, 인도 은행 고객 정보 해킹”

서울-목용재 moky@rfa.org
2017-07-17
이메일
댓글
공유
인쇄
  • 인쇄
  • 공유
  • 댓글
  • 이메일
2016년 2월 서울 송파구 한국인터넷진흥원(KISA) 내 인터넷침해대응센터 종합상황실에서 관계자가 국내 웹사이트에 대한 분산서비스거부(디도스:DDoS) 공격 상황을 모니터링하고 있다.
2016년 2월 서울 송파구 한국인터넷진흥원(KISA) 내 인터넷침해대응센터 종합상황실에서 관계자가 국내 웹사이트에 대한 분산서비스거부(디도스:DDoS) 공격 상황을 모니터링하고 있다.
사진-연합뉴스 제공

앵커: 인도의 한 대형 민간은행에서 현지 고객의 계좌를 해킹하는 데 북한의 ‘악성코드’가 사용된 것으로 알려졌습니다. 각종 해킹 활동을 추적하는 남측 민간단체 ‘사이버전연구센터(CWIC)’는 17일 “북한이 남한을 해킹하는데 활용한 방식이 그대로 사용됐다”고 말했습니다.

서울에서 목용재 기자가 보도합니다.

북측이 남측을 해킹할 때 사용한 ‘악성코드’가 2015년부터 2016년까지 인도에서도 활용된 것으로 알려졌습니다. 인도의 한 대형 민간 은행인 ICICI 은행 고객들의 계좌 정보 등을 빼간 해킹에 이 악성코드가 활용됐다는 겁니다.

해킹은 타인의 전산망에 침투해 정보, 자금 등을 빼가거나 인터넷상에서 피해를 주는 각종 행위를, 악성코드는 해킹을 위한 일종의 프로그램을 의미합니다.

북한의 해킹을 추적·연구하는 민간단체인 ‘사이버전연구센터’는 17일 자유아시아방송에 “인도 현지에 ‘조선컴퓨터센터’ 소속의 김책공대 출신 기술자들이 파견돼 있는데 ICICI 고객 해킹은 이들의 소행으로 추정된다”고 말했습니다.

센터는 이들이 2009년경 인도 뉴델리에 파견돼 있다가 2015년 말부터 2016년 말까지 인도 ICICI 은행 고객들을 해킹했다고 추정했습니다. 이들은 20대 중반의 젊은 해커 10여 명으로 구성돼 있으며 이들 가운데 3~4명이 이번 해킹에 주도적인 역할을 했다고 합니다.

사이먼 최 사이버전연구센터장은 “북한의 악성코드를 활용한 자들은 ICICI 은행 고객들의 계좌 정보를 탈취했다”면서 “‘악성코드’를 이메일(전자우편)에 첨부해 고객들에게 보내는 방식을 활용했는데 고객들은 은행이 보낸 전자우편인 줄 알고 무심코 열었다가 피해를 봤다”고 설명했습니다.

사이먼 최 사이버전연구센터장: 그거(정보)로 얼만큼의 돈을 인출했는지는 모르겠지만 그 악성코드를 북한이 만들었다는 것은 확인했습니다. 악성코드를 실행하면 인도 은행의 가짜 홈페이지(파밍사이트)로 연결되는데 사용자들에게 거기에 정보를 입력하게 하고 이를 탈취한 겁니다.

당시 사건을 북한의 소행으로 보는 가장 큰 이유는 활용된 악성코드의 핵심기술이 과거 북한이 활용한 것과 같거나 매우 유사하기 때문입니다.

지난 2013년 남측 은행과 방송국을 마비시킨 ‘3.20 사이버테러’와 지난해 남측 국방부 해킹, 올해 3월 발생한 현금자동입출금기 해킹 등에 사용된 핵심 기술이 ICICI 은행 고객 해킹에 그대로 사용됐다고 최 센터장은 설명했습니다. 남한 수사 당국은 이 사건들에 대해 “북한이 배후”라고 잠정 결론 내린 바 있습니다.

흥미로운 것은 이 악성코드에 남한의 전문서적 내용이 적용됐다는 점입니다. 지난 2009년 출판된 ‘열혈강의 Visual C++ 2008 MFC 윈도우 프로그래밍’이라는 책에 수록된 예제를 그대로 사용했다는 겁니다. 해당 서적에는 실무에서 활용할 수 있는 예제 프로그램들이 수록돼 있습니다.

최 센터장은 “해커들은 악성코드를 만들 때 이것이 악성코드처럼 보이지 않게 하기 위해 정상 프로그램을 뼈대로 삼는다”면서 “한국에 출판된 책의 예제를 사용했다는 것은 이들이 한국어를 사용하는 사람들이란 의미”라고 말했습니다.

한편 지난 4월 미국 월스트리트저널은 “지난해 7월 인도 유니언 은행에 대한 해킹 시도는 북한의 소행으로 의심된다”는 보도를 낸 바 있습니다. 월스트리트저널에 따르면 인도 유니언 은행은 지난해 7월 대규모의 자금이 유출되기 전 이를 적발해 차단했습니다.

원본 사이트 보기