[컬럼] 스위프트 사이버 공격의 시사점

홈 > 뉴스 > 뉴스 > 보안

[컬럼] 스위프트 사이버 공격의 시사점

“잘 알려진 공격 기법만으로 8100만달러 탈취…ID 관리부터 기존 보안 시스템 재검증 해야”

2016년 06월 13일 15:58:35

데이터넷

webmaster@datanet.co.kr


►오토 버크스 CA테크놀로지스 CTO

박테리아가 강력한 항생제에 맞서 돌연변이 진화를 거듭하듯, 오늘날 사이버 위협은 새로운 취약점을 이용해 끊임없이 변화하고 있다. 진화를 거듭하는 박테리아를 막기 위해 항생제도 진화하는 것처럼 디지털 보안도 개인·기업·정부 차원에서 보다 강력하게 변모해야 한다.

최근 방글라데시 중앙은행에서 8100만 달러, 그리고 에콰도르의 은행에서 돈을 탈취한 사이버 범죄가 일어났다. 공격자는 세상에서 가장 안전한 금융 메시징 시스템으로 알려진‘스위프트(SWIFT)’에 잠입하며 느와르 영화에 나올법한 범행을 저질렀다. 본부가 벨기에에 위치하고 회원 은행들이 공동 소유한 스위프트는 전 세계 11만 금융 기관이 이용하고 있다.

이 대범한 사건은 범죄자는 절대 잠들지 않으며 한때 ‘충분한 수준’이라 여겨진 디지털 보안이 더 이상 안전하지 않다는 사실을 일깨웠다. 이번 사건과 같이 상호 연결된 에코시스템의 보안은 단순한 기술적 문제가 아닌 심각한 비즈니스 문제로 관리돼야 하며, 협업 기반의 다각적 접근 방식으로 보안 문제를 해결해야 한다.

새로운 보안의 경계 ‘계정’

스위프트 뱅킹 네트워크에 가해진 공격은 새로운 유형은 아니었지만 공격자는 기존 여러 공격 방법을 독특하고 정교하게 조합하는 치밀함을 보였다. 공격자는 적법한 운영자 정보를 탈취해 계좌 이체를 목적으로 위장 메시지를 전송하고, 은행 컴퓨터에 악성 소프트웨어를 설치한 후 프린터를 조작하고 사기 메시지 기록을 은폐했다.

스위프트는 공격자가 목표 은행 특정 운영제어시스템에 상당히 높은 수준의 지식을 보유했고, 이는 악의적 내부자나 사이버 공격 혹은 두 가지 모두에 의해 습득했을 가능성이 있다고 발표했다. 과거 결제 네트워크를 타깃한 공격은 인간의 약점을 악용하는 사회 공학적 공격 기법인 스피어피싱(spear phishing)과 연루된 경우가 많았다. 스피어피싱은 사람들이 위장 이메일 속 악성 소프트웨어 다운로드 링크를 클릭하게 만든 후 시스템에 로그인해 정보를 훔친다.

스위프트 공격자는 이 방법 외에도 키보드 입력 값을 감시 및 기록하는 키로거(key-logger) 소프트웨어 등 해킹 툴을 사용해 스위프트 시스템에서 방글라데시 은행의 정보를 탈취했다.

또 은행 절도범이 이용한 보안 체인 상의 약점은확인서를 생성할 때 사용하는 PDF 리더였다. 사물인터넷 시대에 모바일과 네트워크 연결 기기는 새로운 취약점이므로 반드시 통제돼야 한다. 비즈니스 전반에 걸쳐 보안에 초점을 둔 정기적 포트폴리오 검토 방식은 새로운 위협ㆍ취약점ㆍ피해 완화 전략을 파악하는데 도움이 된다.

성이 얼마나 튼튼하든 보안의 경계는 더 이상 성벽에 한정되지 않는다. 새로운 보안의 경계는 수백만 사용자가 네트워크 말단에 위치한 시스템에 접속하는 지점인‘계정(ID)’이다. 기업은 사용자가 계정의 실 소유자인지 그리고 본인 역할에 부합하는 정보와 서비스를 이용하고 있는지 확실히 파악해야 한다.

접근 권한은 세심하게 관리되고 감시돼야

단순한 사용자 계정과 비밀번호만으로는 민감한 커뮤니케이션 보안에 충분하지 않다. 멀티팩터 인증(Multi-factor authentication)과 같은 고급 인증 프로토콜은 기본 계정 인증을 보강하고, 소규모 은행이 상대적으로 쉽고 비용 효율적으로 보안을 강화할 수 있도록 데이터와 서비스 종류에 따라 보안 수준도 달라야 한다. 온라인 뱅킹으로 잔액을 조회할 때는 단순한 비밀번호로 충분하다. 은행 직원이 자금을 이체하는 경우는 추가 계정 확인 등 훨씬 강력한 보안이 필요하다.

상업과 금융은 물론 심지어 정부 시스템까지 연결성이 높아지면서 그 어느 때보다 많은 사용자가 다양한 시스템을 실행할 수 있는 접근 권한을 보유하고 있다. 이런 접근 권한은 필요한 시간에만 승인되고 항상 감시돼야 한다.

또한 사용자 활동을 면밀히 모니터링하고, 특히 내부자가 사이버 범죄에 가담하는지 살펴야 한다. 사기 탐지 소프트웨어를 통해 권한 상승 시도와 같은 이상 활동이나 행동 변화를 인식하고, 접근 권한이 유출된 경우 계정 접근 이력을 통해 어떤 일이 왜 일어났는지 파악해야 한다.

스위프트 사이버 공격이 주목 받는 이유는 단지 거액을 훔쳐서가 아니다. 공격자가 이미 잘 알려진 공격 기법을 조합하는 것만으로 글로벌 경제의 핵심 금융 시스템을 탈취했기 때문이다. 이 사건은 기업이 더 이상 ‘충분한 수준’의 보안에 머물러서는 안 된다고 경고한다. 자사의 시스템 관리 및 보안 수준에 대해 자문하고 보안 관행을 신중히 검토해야 한다.

제 2의 스위프트 공격을 막기 위해 잘 알려진 보안 솔루션을 검증된 방식으로 조합해 대응해야 한다. 그렇지 않으면 방글라데시 은행과 같은 사이버 범죄 피해는 되풀이될 것이다.