2019.11.21

'실제 사례로 본' 은행을 해킹하는 방법

J.M. Porup | CSO
은행을 터는 일은 생각보다 쉽다. 자경단으로 보이는 해커 피니어스 피셔(Phineas Phisher)의 ‘은행 터는 방법’ 선언문에 따르면, 어떤 은행을 털지 신경 쓰지 않으면 특히 더 쉽다.
 
ⓒ Getty Images Bank

이 주장은 피니어스 피셔가 유출한 PwC 사고 대응 보고서를 보면 더 설득력이 있다. 이 보고서에는 피해 은행인 케이먼 내셔널 뱅크 (맨섬) 주식회사(Cayman National Bank (Isle of Man) Limited)(CNBIOM)와 그 자매 회사인 케이먼 내셔널 트러스트 컴퍼니 (맨섬) 주식회사(Cayman National Trust Company (Isle of Man) Limited)(CNTIOM)가 해킹된 정황이 자세히 나와 있다.

단, PwC는 케이먼 내셔널 해킹 사건이나 유출된 보고서에 대한 논평을 거부했다. 이는 이 사건이 어느 정도 정리됐음을 의미한다. 케이먼 내셔널 측은 보도 자료에서 해킹 사실을 인정했으나 “이 시점에서 CNBIOM 고객이나 CNTIOM 고객 또는 케이먼 내셔널과 관련된 금융 절도나 사기의 증거는 전혀 없다”고 주장했다. 은행 자체가 입은 금융 손실에 대한 언급도 일절 없었다.

피니어스 피셔가 사용한 수법을 검토해 보면 현재의 금융 인프라가 해킹에 얼마나 취약한지 알 수 있다. 또한, 일반적인 해킹 실력을 갖춘 개인이나 집단이 어떻게 은행을 털어 달아날 수 있는지도 엿볼 수 있다.

피니어스 피셔는 누구인가
피니어스 피셔는 악명 높은 사이버 용병 집단 감마 그룹(Gamma Group)과 해킹 팀(Hacking Team)을 해킹했다고 주장한 인물이다. 반자본주의, 반제국주의, 반감시라는 목적을 내건 개인이라고 주장한다. 일각에서는 피니어스 피셔가 국가의 지원을 받은 해킹 집단이라고 의심하지만 정확한 것은 밝혀지지 않았다.

2016년도 은행털이에 사용된 해킹 툴은 파워셸(Powershell), 미미카츠(Mimikatz) 등 이미 널리 알려진 침투 테스트 툴이었다. 평범한 실력의 해커도 이 툴을 이용해 얼마든지 할 수 있다는 의미다. 즉, 케이먼 내셔널 해킹 공격은 네트워크를 안전하게 보호하지 않는 방법(혹은, 관점에 따라서는 은행을 터는 방법)에 대한 사례 연구인 셈이다. 이제 이번 해킹이 어떻게 진행되었는지 살펴보자.

거점 확보
피니어스 피셔는 본인의 ‘은행 털기 안내서’에 스페인어로 “옛말대로, 한 사람에게 악용 툴을 주면 하루 동안 접근하는 데 그치지만, 피싱 방법을 알려주면 평생 접근할 수 있게 된다”라고 적었다.

은행이 피싱을 당한 사실은 PwC 사건 대응 보고서에서 확인할 수 있다. 이 보고서에 따르면, 은행털이범은 2015년 8월, 도용한 이메일 계정(csdeployment@swift.com)으로 ‘가격 변동’이라는 제목의 피싱 이메일을 은행 직원에게 보냈다. 발신은 타이포스쿼팅(typo-squatting) 도메인 “cncim.com”에서 이루어졌다. PwC 보고서는 “2015년 7월 27일에 등록된 도메인으로, 이번 공격을 위해 등록됐을 가능성이 매우 높다”라고 설명했다.

또한, 사용된 피싱 악용 툴은 흔한 크라임웨어였다. 보고서는 “이메일에 첨부된 악성코드를 분석한 결과 애드윈드3(Adwind3)인 것으로 드러났다. 해커가 온라인에서 구매할 수 있는 것이다. 이 악성코드가 최근 사건에 직접 연관이 있는지는 확인할 수 없었지만 이 악성 이메일은 CNBT(케이먼 내셔낼 뱅크와 트러스트) 해킹이 목적인 것으로 보인다”라고 분석했다.

첨부된 페이로드는 파일명이 '1_Price_Updates_098123876_docs.jar'였다. CNBT 직원이 첨부파일을 클릭한 순간 워크스테이션이 감염되면서 은행털이범에게 은행 네트워크상의 거점을 제공했다.

애드윈드3 RAT에 관한 2016년도 체크포인트 조사 보고서에 따르면, 이는 일종의 백도어로, 자바로 전체 실행되므로 교차 사용이 가능하다. 대규모 스팸 활동은 물론 전 세계 금융기관 대상 공격에도 사용되는 매우 인기 있는 툴이다. 프루타스(Frutas), 애드윈드, 에일리언스파이(AlienSpy), UNRECOM, 제이소켓(JSocket) 등 모든 버전은 공식 웹사이트에 등록해 구매할 수 있다. 즉, 서비스형 악성코드(malware-as-a-service)인 셈이다.

그러나, 피니어스 피셔는 CSO와의 인터뷰에서 피싱 공격자가 다른 사람이라고 주장했다. 그는 “내가 한 짓이 아니었다. 다른 누군가가 거의 동시에 같은 은행을 무작위로 표적으로 삼고 있었던 것으로 보인다. 은행 해킹이 광범위하게 퍼져있음을 암시한다. 나는 피싱이 아니라 해킹 팀에게 사용했던 것과 같은 소닉월(Sonicwall) SSL/VPN 악용 툴을 통해 침입했다”라고 말했다.

CSO와의 이메일 인터뷰를 통해 피니어스 피셔는 엠파이어(Empire)와 미터프리터(Meterpreter)를 사용했다고 시인했다. 반면 애드윈드3 사용은 부인했다. 그는 “(PwC에 따르면) 애드윈드가 피싱 시도에 사용됐다. 물론, 나는 메타스플로이트(Metasploit) 프레임워크를 사용했다. 엠파이어[RAT]를 사용하고 있었을 뿐이다. 애드윈드를 사용하지 않았고 파워셸 엠파이어로 지속성을 유지했다”라고 말했다.

2016년 1월 무단 SWIFT 거래를 발견한 은행 측은 PwC에 사건 대응을 요청했다. PwC는 피니어스 피셔의 셸을 찾아냈고, 감염된 서버와 워크스테이션을 점검했으며, 자체 네트워크 감시 솔루션인 소나쇽(SonarShock)을 설치해 은행 네트워크상에 계속된 악성 활동의 징후가 없는지 분석했다.

그렇다면 피니어스 피셔는 어떻게 사고 대응 보고서에 접근할 수 있었을까? 그는 “해킹 수사에 착수한 PwC는 내가 엠파이어와 미터프리터를 사용한 것을 알아냈다. 해당 컴퓨터를 청소하고 해당 IP를 차단했지만 나의 백업 접근을 찾아내지는 못했다"라고 말했다. 실제로 PwC가 네트워크 감시에 나서자 은행털이범은 잠시 은신했다. 그는 “나는 새로운 암호를 얻어내기 위해 미미카츠를 한번 실행했다. 그다음부터는 아웃룩 웹 접근으로 그들의 이메일 내용을 확인해 수사 진행 상황을 지켜볼 수 있었다”라고 말했다.

'미미카츠'는 무슨 첨단 과학이 아니다. 복잡한 공격이 아니었다는 사실은 다른 은행털이범에게 용기를 줄 뿐만 아니라 은행들에는 우려를 낳게 할 것이 분명하다.
 
지속성과 도주
2015년 8월로 되돌아가 보자. 피니어스 피셔는 은행의 네트워크에 거점을 확보한 후 리버스 셸을 심어 지속성을 유지했다. 그다음에는 다양한 침투 시험 툴을 이용해 은행 직원의 SWIFT 결제 모습을 지켜봤다. 또한, 은행의 발신 SWIFT 거래 처리 방식에 대한 은행 문건을 공들여 읽었다.

피니어스 피셔는 들키지 않은 채 은행 네트워크상에 5개월을 머무른 후에  SWIFT 거래 시도에 나섰다. 10차례에 걸쳐 총액 수십만 파운드에 달하는 SWIFT 거래를 시도했다. 여기서 주목할 것은 이 금액은 2016년 초 방글라데시의 한 은행에서 북한 해커가 탈취한 8,100만 달러에 비하면 훨씬 적다는 것이다. 2016년 1월 5일 몇 번의 최초 거래에 성공한 후 그는 다음 날 문제에 부딪혔다. 중개 은행에 보낼 SWIFT 코드를 잘못 사용하는 바람에 몇 번의 거래가 실패한 것이다.

그렇다면 왜 이 은행이 표적이 되었을까? 피니어스 피셔는 그가 보유한 악용 툴을 사용할 수 있는 취약한 VPN 기기를 인터넷을 뒤져 모조리 찾아냈고 은행의 리버스 DNS 결과를 검토한 결과 ‘케이먼’이 재미있을 것 같다고 판단했다고 설명했다. 그는 안내서에 “특정 은행을 해킹하려는 의도는 아니었다. 그냥 내가 해킹할 수 있는 아무 은행이나 해킹하고 싶었을 뿐이다. 알고 보니 생각보다 훨씬 수월한 일이었다”라고 적었다. 어쩌면 당신의 은행이 다음 표적이 될 수도 있다. ciokr@idg.co.kr



2019.11.21

'실제 사례로 본' 은행을 해킹하는 방법

J.M. Porup | CSO
은행을 터는 일은 생각보다 쉽다. 자경단으로 보이는 해커 피니어스 피셔(Phineas Phisher)의 ‘은행 터는 방법’ 선언문에 따르면, 어떤 은행을 털지 신경 쓰지 않으면 특히 더 쉽다.
 
ⓒ Getty Images Bank

이 주장은 피니어스 피셔가 유출한 PwC 사고 대응 보고서를 보면 더 설득력이 있다. 이 보고서에는 피해 은행인 케이먼 내셔널 뱅크 (맨섬) 주식회사(Cayman National Bank (Isle of Man) Limited)(CNBIOM)와 그 자매 회사인 케이먼 내셔널 트러스트 컴퍼니 (맨섬) 주식회사(Cayman National Trust Company (Isle of Man) Limited)(CNTIOM)가 해킹된 정황이 자세히 나와 있다.

단, PwC는 케이먼 내셔널 해킹 사건이나 유출된 보고서에 대한 논평을 거부했다. 이는 이 사건이 어느 정도 정리됐음을 의미한다. 케이먼 내셔널 측은 보도 자료에서 해킹 사실을 인정했으나 “이 시점에서 CNBIOM 고객이나 CNTIOM 고객 또는 케이먼 내셔널과 관련된 금융 절도나 사기의 증거는 전혀 없다”고 주장했다. 은행 자체가 입은 금융 손실에 대한 언급도 일절 없었다.

피니어스 피셔가 사용한 수법을 검토해 보면 현재의 금융 인프라가 해킹에 얼마나 취약한지 알 수 있다. 또한, 일반적인 해킹 실력을 갖춘 개인이나 집단이 어떻게 은행을 털어 달아날 수 있는지도 엿볼 수 있다.

피니어스 피셔는 누구인가
피니어스 피셔는 악명 높은 사이버 용병 집단 감마 그룹(Gamma Group)과 해킹 팀(Hacking Team)을 해킹했다고 주장한 인물이다. 반자본주의, 반제국주의, 반감시라는 목적을 내건 개인이라고 주장한다. 일각에서는 피니어스 피셔가 국가의 지원을 받은 해킹 집단이라고 의심하지만 정확한 것은 밝혀지지 않았다.

2016년도 은행털이에 사용된 해킹 툴은 파워셸(Powershell), 미미카츠(Mimikatz) 등 이미 널리 알려진 침투 테스트 툴이었다. 평범한 실력의 해커도 이 툴을 이용해 얼마든지 할 수 있다는 의미다. 즉, 케이먼 내셔널 해킹 공격은 네트워크를 안전하게 보호하지 않는 방법(혹은, 관점에 따라서는 은행을 터는 방법)에 대한 사례 연구인 셈이다. 이제 이번 해킹이 어떻게 진행되었는지 살펴보자.

거점 확보
피니어스 피셔는 본인의 ‘은행 털기 안내서’에 스페인어로 “옛말대로, 한 사람에게 악용 툴을 주면 하루 동안 접근하는 데 그치지만, 피싱 방법을 알려주면 평생 접근할 수 있게 된다”라고 적었다.

은행이 피싱을 당한 사실은 PwC 사건 대응 보고서에서 확인할 수 있다. 이 보고서에 따르면, 은행털이범은 2015년 8월, 도용한 이메일 계정(csdeployment@swift.com)으로 ‘가격 변동’이라는 제목의 피싱 이메일을 은행 직원에게 보냈다. 발신은 타이포스쿼팅(typo-squatting) 도메인 “cncim.com”에서 이루어졌다. PwC 보고서는 “2015년 7월 27일에 등록된 도메인으로, 이번 공격을 위해 등록됐을 가능성이 매우 높다”라고 설명했다.

또한, 사용된 피싱 악용 툴은 흔한 크라임웨어였다. 보고서는 “이메일에 첨부된 악성코드를 분석한 결과 애드윈드3(Adwind3)인 것으로 드러났다. 해커가 온라인에서 구매할 수 있는 것이다. 이 악성코드가 최근 사건에 직접 연관이 있는지는 확인할 수 없었지만 이 악성 이메일은 CNBT(케이먼 내셔낼 뱅크와 트러스트) 해킹이 목적인 것으로 보인다”라고 분석했다.

첨부된 페이로드는 파일명이 '1_Price_Updates_098123876_docs.jar'였다. CNBT 직원이 첨부파일을 클릭한 순간 워크스테이션이 감염되면서 은행털이범에게 은행 네트워크상의 거점을 제공했다.

애드윈드3 RAT에 관한 2016년도 체크포인트 조사 보고서에 따르면, 이는 일종의 백도어로, 자바로 전체 실행되므로 교차 사용이 가능하다. 대규모 스팸 활동은 물론 전 세계 금융기관 대상 공격에도 사용되는 매우 인기 있는 툴이다. 프루타스(Frutas), 애드윈드, 에일리언스파이(AlienSpy), UNRECOM, 제이소켓(JSocket) 등 모든 버전은 공식 웹사이트에 등록해 구매할 수 있다. 즉, 서비스형 악성코드(malware-as-a-service)인 셈이다.

그러나, 피니어스 피셔는 CSO와의 인터뷰에서 피싱 공격자가 다른 사람이라고 주장했다. 그는 “내가 한 짓이 아니었다. 다른 누군가가 거의 동시에 같은 은행을 무작위로 표적으로 삼고 있었던 것으로 보인다. 은행 해킹이 광범위하게 퍼져있음을 암시한다. 나는 피싱이 아니라 해킹 팀에게 사용했던 것과 같은 소닉월(Sonicwall) SSL/VPN 악용 툴을 통해 침입했다”라고 말했다.

CSO와의 이메일 인터뷰를 통해 피니어스 피셔는 엠파이어(Empire)와 미터프리터(Meterpreter)를 사용했다고 시인했다. 반면 애드윈드3 사용은 부인했다. 그는 “(PwC에 따르면) 애드윈드가 피싱 시도에 사용됐다. 물론, 나는 메타스플로이트(Metasploit) 프레임워크를 사용했다. 엠파이어[RAT]를 사용하고 있었을 뿐이다. 애드윈드를 사용하지 않았고 파워셸 엠파이어로 지속성을 유지했다”라고 말했다.

2016년 1월 무단 SWIFT 거래를 발견한 은행 측은 PwC에 사건 대응을 요청했다. PwC는 피니어스 피셔의 셸을 찾아냈고, 감염된 서버와 워크스테이션을 점검했으며, 자체 네트워크 감시 솔루션인 소나쇽(SonarShock)을 설치해 은행 네트워크상에 계속된 악성 활동의 징후가 없는지 분석했다.

그렇다면 피니어스 피셔는 어떻게 사고 대응 보고서에 접근할 수 있었을까? 그는 “해킹 수사에 착수한 PwC는 내가 엠파이어와 미터프리터를 사용한 것을 알아냈다. 해당 컴퓨터를 청소하고 해당 IP를 차단했지만 나의 백업 접근을 찾아내지는 못했다"라고 말했다. 실제로 PwC가 네트워크 감시에 나서자 은행털이범은 잠시 은신했다. 그는 “나는 새로운 암호를 얻어내기 위해 미미카츠를 한번 실행했다. 그다음부터는 아웃룩 웹 접근으로 그들의 이메일 내용을 확인해 수사 진행 상황을 지켜볼 수 있었다”라고 말했다.

'미미카츠'는 무슨 첨단 과학이 아니다. 복잡한 공격이 아니었다는 사실은 다른 은행털이범에게 용기를 줄 뿐만 아니라 은행들에는 우려를 낳게 할 것이 분명하다.
 
지속성과 도주
2015년 8월로 되돌아가 보자. 피니어스 피셔는 은행의 네트워크에 거점을 확보한 후 리버스 셸을 심어 지속성을 유지했다. 그다음에는 다양한 침투 시험 툴을 이용해 은행 직원의 SWIFT 결제 모습을 지켜봤다. 또한, 은행의 발신 SWIFT 거래 처리 방식에 대한 은행 문건을 공들여 읽었다.

피니어스 피셔는 들키지 않은 채 은행 네트워크상에 5개월을 머무른 후에  SWIFT 거래 시도에 나섰다. 10차례에 걸쳐 총액 수십만 파운드에 달하는 SWIFT 거래를 시도했다. 여기서 주목할 것은 이 금액은 2016년 초 방글라데시의 한 은행에서 북한 해커가 탈취한 8,100만 달러에 비하면 훨씬 적다는 것이다. 2016년 1월 5일 몇 번의 최초 거래에 성공한 후 그는 다음 날 문제에 부딪혔다. 중개 은행에 보낼 SWIFT 코드를 잘못 사용하는 바람에 몇 번의 거래가 실패한 것이다.

그렇다면 왜 이 은행이 표적이 되었을까? 피니어스 피셔는 그가 보유한 악용 툴을 사용할 수 있는 취약한 VPN 기기를 인터넷을 뒤져 모조리 찾아냈고 은행의 리버스 DNS 결과를 검토한 결과 ‘케이먼’이 재미있을 것 같다고 판단했다고 설명했다. 그는 안내서에 “특정 은행을 해킹하려는 의도는 아니었다. 그냥 내가 해킹할 수 있는 아무 은행이나 해킹하고 싶었을 뿐이다. 알고 보니 생각보다 훨씬 수월한 일이었다”라고 적었다. 어쩌면 당신의 은행이 다음 표적이 될 수도 있다. ciokr@idg.co.kr

X