한겨레

복면 쓰고 총 들고 위협하는 은행 강도는 구닥다리일 뿐이다. 세계 100여개 은행에서 10억달러(1조1022억원)를 턴 은행털이범이 있다.

세계 수사당국이 ‘카르바나크’라고 이름을 붙인 범죄 집단이 2013년부터 2년 동안 러시아, 우크라이나, 미국, 독일, 중국, 일본 등 30여개국 100여개 은행의 돈을 해킹으로 털었다고 러시아 글로벌 보안 소프트웨어 업체 카스퍼스키가 밝혔다고 <뉴욕 타임스> 등이 15일 보도했다. 인터폴과 유로폴도 현재 수사를 벌이고 있는 이 ‘사이버 은행 강도’의 피해 금액은 추정액이 10억달러이고, 정확한 피해 규모는 아직 파악되지 않고 있다. <로이터> 통신은 피해 액수가 사상 최고에 이르는 은행 해킹 사건일 수 있다고 전했다. 카르바나크에는 러시아와 우크라이나, 유럽, 중국 출신 범죄자들이 섞여 있는 것으로 추정된다. 카스퍼스키는 피해를 봤다고 추정되는 은행들 이름은 공개하지 않았다.

카르바나크는 ‘스피어 피싱’(sphere phising)이라는 해킹 수법을 썼다. 열대 지방 어민들의 ‘작살 낚시’를 뜻하는 이 수법은 불특정 다수의 개인정보를 빼내는 일반적 피싱과 달리 특정인의 정보를 캐내는 수법이다. 구체적으로 카르바나크 해커들은 특정 은행원들에게 악성 소프트웨어를 심은 이메일을 보냈다. 은행원이 이 이메일을 열면 악성코드가 은행원의 컴퓨터를 타고 은행 시스템을 감염시킨다. 해커들은 악성코드를 이용해 은행원 컴퓨터의 스크린샷을 갈무리하거나 은행원이 컴퓨터를 다루는 모습을 녹화한다. 이런 방법으로 특정 은행들의 입출금 체계 등을 몇달 동안 관찰해 익힌다. 은행 시스템에 익숙해지고 나면 미리 다른 은행에 만들어 둔 계좌로 돈을 이체하거나, 아니면 아예 현금자동입출금기(ATM)에서 현금을 빼가기도 했다. 2013년말 우크라이나 키예프에서는 현금자동입출금기에서 돈이 제멋대로 튀어나온 적이 있다고 <뉴욕 타임스>는 전했다.

해커들은 조심스럽고 치밀했다. 카스퍼스키의 보안 연구가 비센테 디아스는 <에이피>(AP) 통신에 “해커들이 한 은행에서 1000만달러 이상을 털지는 않은 듯하다. 일찍 발각되지 않으려고 조심한 듯하다”고 말했다. 은행 고객 잔고는 결과적으로는 변동이 없게 했다. 예를 들어서 1000달러 잔고의 계좌를 조작해 1만달러로 늘려놓는다. 이후 9000달러를 인출해가면, 잔고는 그대로 1000달러로 유지된다. 고객이나 은행원이 실시간으로 잔고를 들여다보지 않는 점을 이용했다.

카스퍼스키는 피해 은행 중에는 현금자동입출금기로만 730만달러를 털린 경우가 있고, 계좌이체로 1000만달러 피해를 입은 곳도 있다고 밝혔다. 카르바나크 해커들은 철저히 현금을 터는 데 집중했고, 다른 해커들과 달리 고객 정보에는 관심을 두지 않은 것으로 보인다. <뉴욕 타임스>는 아직 어떤 은행도 피해를 인정한 곳은 없다고 전했다. 카스퍼스키 북미 지사의 크리스 도겟은 “일반적인 사이버 절도는 일단 침입해 털 수 있을 만큼 최대한 돈을 터는 영화 <보니 앤 클라이드>(우리에게 내일은 없다) 식인데, 이번에는 (특정 상대를 정해 두고 치밀하게 계획해 움직이는) 영화 <오션스 일레븐> 식이다”라고 말했다고 <뉴욕 타임스>는 전했다.

조기원 기자 garden@hani.co.kr