금융 네트워크 취약 동남아 은행들 사이버 범죄 표적으로

1890년대 미국 서부 은행강도 실화를 바탕으로 만든 ‘내일을 향해 쏴라’(1969년)에서 주인공 부치 캐시디(폴 뉴먼)와 선댄스 키드(로버트 레드퍼드)는 복면과 권총으로 은행을 턴다. 1960년대를 배경으로 한 영화 ‘쇼생크 탈출’(1994년)에서는 복역수인 앤디 듀프레인(팀 로빈스)이 교도소를 탈출한 뒤 정장 차림으로 은행에 들어가 위조 서류를 내밀어 현금을 챙겨 온다. 두 영화는 ‘19세기 은행강도’에게는 복면과 권총이, ‘20세기 은행 강도’에게는 위조 문서와 두둑한 배짱이 필수라는 걸 알게 해 준다.

세상의 변화에 맞춰 은행강도도 진화한다. 21세기 은행강도들에게는 더이상 권총이나 위조 서류 같은 건 필요 없다. 무선 인터넷이 되는 노트북 한 대만 있으면 된다. 은행 주변에 숨어 밤이 오기만을 기다리거나 수표를 원본과 똑같이 위조해 줄 장인을 찾아 전국을 헤매던 은행강도들은 이제 최신 정보기술(IT)로 무장한 지능범으로 환골탈태했다.

●1차적 책임은 방글라데시… 美도 면책 힘들어

30일 금융업계에 따르면 최근 ‘사이버 은행강도’들은 과거에는 상상할 수 없던 첨단 소프트웨어들로 글로벌 금융 네트워크의 ‘약한 고리’를 찾아내 정밀하게 침투한다. 상대적으로 첨단 보안 시스템을 구축할 자금이 모자라는 동남아시아 지역 은행 등이 주요 타깃이 되고 있다고 영국 일간 파이낸셜타임스(FT)가 전했다.

지난 2월 미국 뉴욕 연방준비은행(연은)에 방글라데시 중앙은행 명의로 35건의 계좌 이체 요청이 접수됐다. 금액은 9억 5100만 달러(약 1조 2200억원). 뉴욕 연은은 별다른 의심 없이 이체를 진행시켰다. 하지만 스리랑카은행으로 2000만 달러(약 236억원)를 보내는 과정에서 직원이 자금 수령인 철자가 잘못된 것을 발견하고 스리랑카 측에 정확한 이름을 되묻는 과정에서 불법 인출 사실이 드러나 거래를 중단시켰다. 그때까지 이체된 자금이 8100만 달러(약 956억원). 이 정도만 해도 역대 은행강도 역사상 최대 규모 범죄로 기록될 수준이다.

당시 사태에 대해 미국과 방글라데시는 서로의 잘못이라며 책임을 떠넘겼다. 수사를 통해 지금까지 밝혀진 것은 해커들이 방글라데시 중앙은행 네트워크에서 국제은행간통신협회(SWIFT) 계좌 정보를 빼내 이체에 활용했다는 것이다. SWIFT는 전 세계 은행들끼리 저렴한 비용으로 금융거래를 할 수 있게 만든 국제 네트워크를 말한다. 해커들은 범행 전 방글라데시 은행 네트워크에 멀웨어(정보를 캐기 위해 심어둔 악성 소프트웨어)를 설치해 SWIFT 정보를 얻어낼 수 있었다. 어찌 됐건 1차적인 책임은 자신들의 계좌 보안을 소홀히 한 방글라데시 측에 있다고 볼 수 있다.

하지만 미국 또한 책임이 적다고 말하긴 어렵다. 당시 해커들이 돈을 보내려 했던 곳들은 대부분 개인 또는 민간업체들이었고, 뉴욕 연은이나 방글라데시 은행 등과 단 한 차례도 거래가 없던 곳들이었기 때문이다. 1조원이 넘는 거액을 이체할 만한 수령처들이 아니었기에 미국 측이 사전에 반드시 알아챘어야 했다. 전 세계 대부분 중앙은행의 달러를 맡아 관리해 ‘세계의 중앙은행’으로 불리는 뉴욕 연은이라면 이 정도 감지 시스템은 당연히 갖췄어야 하는 것 아니냐는 비판이 크다.

●첨단 보안 무용지물… 직원 성실이 추가 피해 막아

이번 범죄를 발견한 건 엄청난 돈을 들여 설치한 보안 시스템이 아니라 범죄자들이 저지른 아주 사소한 철자 실수를 찾아낸 은행 직원의 성실함이었다. 만약 수령인 철자가 틀리지 않았다면 두 나라 은행은 지금까지도 조(兆) 단위 현금이 사라진 사실 자체도 모르고 있을 수 있다. 안타깝지만 현 보안 시스템으로는 ‘21세기 은행강도’들을 완벽히 막아내기가 어렵다는 사실을 여실히 보여준다.

이번 범죄에 세 개의 해커그룹이 관여했고 이 가운데 둘은 파키스탄과 북한 소속이라는 것 말고는 아직까지도 확인된 게 거의 없다. 이체된 자금 8100만 달러는 돈세탁 목적으로 카지노로 흘러 들어간 것으로 추정된다. 돌려받을 가능성은 희박하다.

블룸버그는 “방글라데시 중앙은행에 앞서 베트남 시중은행에도 이번 사건과 유사한 사이버 공격이 나타났다”면서 “은행에 대한 사이버 공격을 두고 전 세계 금융기관들의 걱정이 커지고 있다”고 보도했다. 특히 베트남 은행을 공격하는 데 사용된 멀웨어에 중국 4대 은행 가운데 하나인 공상은행, 일본 최대 은행인 미쓰비시도쿄UFJ은행, 이탈리아 최대 은행 유니크레디트의 SWIFT 정보가 들어 있는 것으로 확인됐다. 한국의 KB국민은행도 포함됐다. 해커들이 마음만 먹으면 언제든 세계 유수의 은행들 금고도 열 수 있다는 뜻이기 때문이다.

●해커 조직 글로벌화… 인터폴도 검거 어려워

고트프라이드 라이브랜트 SWIFT 최고경영자(CEO)는 “최근 사례들을 보면 해커들은 단순한 자료 빼내기 수준을 넘어 은행들의 해외 자산에까지 손을 대는 수준에 이르렀다”면서 “앞으로 해커들의 사이버 공격이 계속될 것이고 이 가운데 몇 가지는 분명 성공할 것”이라고 우려를 나타냈다.

특히 전 세계 모든 PC들이 초고속 인터넷으로 연결되면서 ‘중국 출신 해커가 아프리카에 서버를 두고 동남아시아의 한 휴양지에서 노트북으로 전 세계 은행들을 해킹해 돈을 훔치는’ 시대가 됐다는 게 IT 보안업계의 설명이다. 어렵사리 정보 당국이 용의자를 찾아내도 인터폴과 협의해 해당 국가에 도움을 요청할 때엔 그는 이미 자취를 감춘 지 오래다. 현 범죄인 인도 방식으로 ‘21세기 은행강도’를 잡아내기란 매우 어렵다.

할리우드 영화에서는 해커들이 1~2명 단위로 은밀히 일하다 보니 해커들을 ‘나홀로 움직이는’ 존재로 여기는 경우가 많다. 하지만 실제 해커들은 대부분 마피아나 삼합회처럼 전 세계에 걸친 글로벌 네트워크 조직의 일원으로 활동한다.

해커 집단들은 크게 세 가지 사업 모델로 수익을 낸다.

우선 해킹을 원하는 일반인들에게 자신들이 개발한 프로그램을 팔거나 해킹 기술을 전수한다. 해커 조직들은 인터넷에서 ‘범죄 서비스’(Caas)라는 이름으로 고객을 끌어모으며 은행 계좌 로그인 정보를 빼낼 수 있는 악성 프로그램도 판매한다. 실력이 부족한 초보 해커들을 위해 컨설팅 서비스도 해 준다.

2009년부터 2011년까지 전 세계에서 1억 달러(약 1180억원)가 넘는 금융 피해를 입힌 전설적 해킹 프로그램 ‘제우스’는 한 개에 3000달러(약 350만원)에 팔려 동유럽 해커 조직에 자금줄 역할을 하기도 했다.

●돈 받고 대리 해킹 성행… 피해 숨기는 기업도

두 번째로 이들은 금융기관 해킹을 원하는 개인이나 조직을 대신해 일해 주고 사례금을 받는다. 일종의 ‘해킹 아웃소싱’인데 계약을 따내기 위한 글로벌 해커 조직들의 ‘수주전’은 상상을 초월한다. 세 번째로 자신들이 직접 ‘은행강도’를 기획하고 기관 정보를 빼내 돈을 갈취한다.

국내외를 막론하고 기업 운영에 불법적 요소가 많은 곳들은 해킹 자체보다도 사건이 알려져 당국의 조사를 받는 게 더 골치 아플 수 있다. 이 때문에 해킹 사실 자체를 덮고 넘어가는 기업들도 태반이다. 해커 조직들도 이런 ‘사회공학적 배경’까지 염두에 두고 전 세계의 ‘약한 고리’들을 찾아 다니며 대담하게 활동한다.

한국의 대표적 IT 전문가 가운데 한 사람인 김홍선 전 안랩 대표는 “해커들은 목표 기업의 구체적인 운영방식이나 CEO의 인간관계 등 우리 생각보다 훨씬 깊고 수준 높은 지식을 갖고 접근한다”면서 “이런 지식들은 내부자 정보나 해킹, 또는 이 두 가지 모두를 통해 얻어내는 것으로 보인다”고 밝혔다.

류지영 기자 superryu@seoul.co.kr