지난 3월 국내에서 최초로 발생한 현금자동입출금기(ATM) 해킹 사건에 북한산 악성코드가 사용된 것으로 확인됐다.
정부 관계자는 8일 “ATM 해킹의 악성코드에서 지난해 9월 국방망을 해킹한 북한의 악성코드와의 유사점을 발견했다. 두 해킹 사건의 악성코드는 모두 백신의 보안 취약점을 노렸다”며 “군 당국으로부터 넘겨받은 북한산 악성코드와 대조한 결과 거의 동일하다는 결론을 내렸다”고 말했다. 또 다른 정부 관계자는 “ATM 해킹 악성코드와 국방망 해킹 악성코드의 소스코드(원시 프로그램)에서 북한식 한글 표기를 발견했다”고 말했다.
그러나 이 관계자는 “북한산 악성코드가 발견됐다고 하더라도 ATM 해킹이 북한의 소행으로 단정할 수는 없다. ATM 해킹은 가상사설망(VPN)을 통해 여러 곳을 경유했기 때문에 인터넷주소(IP) 추적이 쉽지 않다”고 덧붙였다.
지난 3월 결제대행사(VAN)인 청호이지캐쉬가 전국에 설치한 ATM 중 63대가 2월부터 한 달간 악성코드에 감염돼 신용ㆍ체크ㆍ직불카드 2500여 장의 카드번호ㆍ카드 유효기간ㆍ거래승인번호ㆍ카드 비밀번호 정보가 유출된 사실이 밝혀졌다. 국내에서 ATM에 악성코드를 심어 카드정보를 훔친 첫 사례다. 유출된 카드정보로 만든 복제카드로 대만에서 300만원이 부정하게 인출된 피해가 발생했다. 해커 집단은 지난달 8~9일에도 태국에서 씨티카드 고객 28명의 계좌에서 현금을 몰래 빼냈다.
북한은 최근 금융권 해킹에 주력하고 있다. 지난해 2월 뉴욕 연방은행의 방글라데시 중앙은행 계좌에서 8100만 달러(약 916억원)가 필리핀 소재 4개 은행계좌로 빼돌려진 사건에 대해서도 국제사회는 북한을 의심하고 있다.
러시아의 보안업체인 카스퍼스키랩은 사건을 저지른 해커집단이 범행 한달전인 지난해 1월 북한의 IP를 이용해 범행에 사용한 서버에 접속한 사실이 있다고 지난달 발표했다. 지난 3월 미 국가안보국(NSA)은 방글라데시 중앙은행 계좌 해킹이 ‘라자루스(Lazarus)’라는 해커 집단의 소행이라고 밝히기도 했다. 라자루스는 2014년 소니픽처스의 주범으로, 당시도 배후 세력으로 북한이 지목됐다. 지난해 7월에는 인도의 국영 유니언뱅크 전산망에 해커가 침투해 1억7000만 달러(약 1922억원)를 해외계좌로 송금하려다 실패했다. 유니언뱅크의 국제 거래를 중개하는 미국의 시티그룹은 방글라데시 중앙은행 계좌 해킹을 주도한 세력의 소행으로 추정했다.
이철재 기자 seajay@joongang.co.kr
