2017.09.06

"북한 해커, 국내 ATM기 해킹 통해 금융거래정보 23만 건 탈취 유통"…경찰청

이대영 기자 | ITWorld
23만 건의 금융거래정보를 부정 사용한 일당이 잡혔다. 그런데 이 유출된 정보가 북한 해커가 국내 ATM기를 감염시켜 탈취, 유통시킨 것이라는 것이 경찰청의 주장이다.

경찰청 사이버안전국은 악성코드를 통해 국내 현금자동입출금기(ATM) 63대를 감염시켜 유출시킨 23만여 건의 전자금융거래정보를 북한 해커로부터 전달받아 유통하고, 이를 이용해 카드를 복제, 사용한 피의자 4명을 검거해 정보통신망법위반 등의 혐의로 구속 송치했다.

경찰청은 수사결과, 북한 해커는 국내 ATM기 업체 백신서버의 취약점을 이용해 전산망을 해킹한 뒤, 전국 대형마트 등에 설치된 ATM기 63대에 악성코드를 유포해 이 기기를 이용한 피해자들의 전자금융거래정보 23만 8,073건을 국내에 설치한 탈취서버를 통해 빼낸 것으로 확인했다.

ATM기에서 유출된 정보는 ▲카드정보(카드번호, 유효기간, 비밀번호) ▲은행정보(결제은행, 결제계좌, 잔액) ▲개인정보(이름, 주민번호, 법인번호) 등이다.

피의자들은 북한 해커로부터 이 금융정보를 전달받아 한국, 대만, 태국, 일본 등 각국의 인출책들에게 유통하고, 복제카드를 만들어 국내외에서 현금을 인출하거나 대금 결제, 하이패스 카드 충전 등 부정 사용해 온 것으로 확인됐다.


Credit: 경찰청 사이버안전국 

복제카드 사용내역은 ▲현금인출(국내외 8,833만 원) ▲대금결제(1,092만 원) ▲하이패스 충전(339만 원)으로, 승인 금액은 96명의 카드에서 1억 264만 원이며, 거절금액은 506명의 카드에서 3억 2,515만 원이다.

경찰청은 해외 정보판매 총책 C(45세, 남, 중국동포), 복제카드를 제작·부정사용한 E(33세, 남, 한국), 현금을 인출한 G(24세, 남, 한국) 등 3명을 구속하고, 국내 정보판매 총책 D(29세, 남, 한국)를 불구속(별건 구속) 송치했으며, 범행 가담 후 해외로 도피한 피의자와 중국에 거주 중인 피의자들에 대해서는 인터폴 적색수배, 국제공조수사 등을 통해 계속 추적할 예정이라고 밝혔다.

경찰청 측은 이번 사건의 특징은 북한 해커로부터 받은 카드정보를 유통했다는 피의자 진술을 확보했다는 점이라고 밝혔다.

기존 사이버범죄 사건에서 악성코드 프로파일링과 접속로그 IP 추적으로 공격 주체를 북한으로 추정했던 것에서 한발 더 나아가 범행에 가담한 피의자들을 검거해 북한 해커 소행이라는 피의자 진술을 확보했다는 것이다.

이번 범죄가 북한 소행이라는 경찰청의 판단 근거는 다음과 같다.
- 2016년 북한발 국가주요기관 해킹사건과 동일한 백신서버 취약점 이용해 침입
- 2016년 북한발 국가주요기관 해킹사건의 악성코드와 100% 동일한 키로거, 원격제어(RAT) 등이 ATM기 구조분석에 재사용
- 2016년 대기업 해킹사건의 탈취서버가 재사용(○○대학교 등)
- 2016년 대기업 해킹사건과 비밀번호까지 100% 동일한 웹셀, 유령쥐(Ghost RAT) 등이 탈취서버 제어에 재사용
- 공범 A(중국동포)가 북한 해커로부터 유출된 금융정보를 받아와 이를 국내외에 유통시켰다는 카드정보 판매총책(45세, 중국동포, 구속) C 등의 진술


경찰청은 이번 사건이 단순 카드복제기 설치, POS 단말기 해킹 등 기존 방식과 달리 ATM기를 해킹해 금융정보를 대량 탈취한 사건이며, 북한의 사이버테러가 내국인과 결탁한 외화벌이로 확장한 사건으로 판단하고 있다.


Credit: 경찰청 사이버안전국 

경찰청은 방산기술 탈취 및 전산망 교란 공격에 집중해왔던 북한의 사이버테러가 최근 금전을 목적으로 내국인과 결탁해 금융정보를 장기간에 걸쳐 지속적으로 탈취하는 등 국민의 실생활까지 위협하고 있다고 밝혔다.

경찰청은 2017년 3월 2일 피해 발생과 동시에 수사에 착수해, KISA와 금융보안원과 신속히 공유, 추가 공격을 차단했다. 경찰청 사이버안전국은 앞으로 유사사례가 발생하지 않도록 유관기관들을 통해 외부 원격접속 차단, 망분리 등 ATM기 시스템 보안 강화 조치를 권고했다.

특히, 북한의 사이버테러가 국내 범죄자와 결탁한 금융범죄로 확장되고 있다는 사실에 주목, 관련 첩보수집, 수사 활동을 강화할 예정이다. editor@itworld.co.kr  


2017.09.06

"북한 해커, 국내 ATM기 해킹 통해 금융거래정보 23만 건 탈취 유통"…경찰청

이대영 기자 | ITWorld
23만 건의 금융거래정보를 부정 사용한 일당이 잡혔다. 그런데 이 유출된 정보가 북한 해커가 국내 ATM기를 감염시켜 탈취, 유통시킨 것이라는 것이 경찰청의 주장이다.

경찰청 사이버안전국은 악성코드를 통해 국내 현금자동입출금기(ATM) 63대를 감염시켜 유출시킨 23만여 건의 전자금융거래정보를 북한 해커로부터 전달받아 유통하고, 이를 이용해 카드를 복제, 사용한 피의자 4명을 검거해 정보통신망법위반 등의 혐의로 구속 송치했다.

경찰청은 수사결과, 북한 해커는 국내 ATM기 업체 백신서버의 취약점을 이용해 전산망을 해킹한 뒤, 전국 대형마트 등에 설치된 ATM기 63대에 악성코드를 유포해 이 기기를 이용한 피해자들의 전자금융거래정보 23만 8,073건을 국내에 설치한 탈취서버를 통해 빼낸 것으로 확인했다.

ATM기에서 유출된 정보는 ▲카드정보(카드번호, 유효기간, 비밀번호) ▲은행정보(결제은행, 결제계좌, 잔액) ▲개인정보(이름, 주민번호, 법인번호) 등이다.

피의자들은 북한 해커로부터 이 금융정보를 전달받아 한국, 대만, 태국, 일본 등 각국의 인출책들에게 유통하고, 복제카드를 만들어 국내외에서 현금을 인출하거나 대금 결제, 하이패스 카드 충전 등 부정 사용해 온 것으로 확인됐다.


Credit: 경찰청 사이버안전국 

복제카드 사용내역은 ▲현금인출(국내외 8,833만 원) ▲대금결제(1,092만 원) ▲하이패스 충전(339만 원)으로, 승인 금액은 96명의 카드에서 1억 264만 원이며, 거절금액은 506명의 카드에서 3억 2,515만 원이다.

경찰청은 해외 정보판매 총책 C(45세, 남, 중국동포), 복제카드를 제작·부정사용한 E(33세, 남, 한국), 현금을 인출한 G(24세, 남, 한국) 등 3명을 구속하고, 국내 정보판매 총책 D(29세, 남, 한국)를 불구속(별건 구속) 송치했으며, 범행 가담 후 해외로 도피한 피의자와 중국에 거주 중인 피의자들에 대해서는 인터폴 적색수배, 국제공조수사 등을 통해 계속 추적할 예정이라고 밝혔다.

경찰청 측은 이번 사건의 특징은 북한 해커로부터 받은 카드정보를 유통했다는 피의자 진술을 확보했다는 점이라고 밝혔다.

기존 사이버범죄 사건에서 악성코드 프로파일링과 접속로그 IP 추적으로 공격 주체를 북한으로 추정했던 것에서 한발 더 나아가 범행에 가담한 피의자들을 검거해 북한 해커 소행이라는 피의자 진술을 확보했다는 것이다.

이번 범죄가 북한 소행이라는 경찰청의 판단 근거는 다음과 같다.
- 2016년 북한발 국가주요기관 해킹사건과 동일한 백신서버 취약점 이용해 침입
- 2016년 북한발 국가주요기관 해킹사건의 악성코드와 100% 동일한 키로거, 원격제어(RAT) 등이 ATM기 구조분석에 재사용
- 2016년 대기업 해킹사건의 탈취서버가 재사용(○○대학교 등)
- 2016년 대기업 해킹사건과 비밀번호까지 100% 동일한 웹셀, 유령쥐(Ghost RAT) 등이 탈취서버 제어에 재사용
- 공범 A(중국동포)가 북한 해커로부터 유출된 금융정보를 받아와 이를 국내외에 유통시켰다는 카드정보 판매총책(45세, 중국동포, 구속) C 등의 진술


경찰청은 이번 사건이 단순 카드복제기 설치, POS 단말기 해킹 등 기존 방식과 달리 ATM기를 해킹해 금융정보를 대량 탈취한 사건이며, 북한의 사이버테러가 내국인과 결탁한 외화벌이로 확장한 사건으로 판단하고 있다.


Credit: 경찰청 사이버안전국 

경찰청은 방산기술 탈취 및 전산망 교란 공격에 집중해왔던 북한의 사이버테러가 최근 금전을 목적으로 내국인과 결탁해 금융정보를 장기간에 걸쳐 지속적으로 탈취하는 등 국민의 실생활까지 위협하고 있다고 밝혔다.

경찰청은 2017년 3월 2일 피해 발생과 동시에 수사에 착수해, KISA와 금융보안원과 신속히 공유, 추가 공격을 차단했다. 경찰청 사이버안전국은 앞으로 유사사례가 발생하지 않도록 유관기관들을 통해 외부 원격접속 차단, 망분리 등 ATM기 시스템 보안 강화 조치를 권고했다.

특히, 북한의 사이버테러가 국내 범죄자와 결탁한 금융범죄로 확장되고 있다는 사실에 주목, 관련 첩보수집, 수사 활동을 강화할 예정이다. editor@itworld.co.kr  


X