글
은행 전산망 농락 '쇼킹한 해킹
 |
자칫 대형 금융인출 사고로 번질 뻔한 은행 시스템 해킹 사건이 잇따라 적발돼 금융 전산망 관리에 비상이 걸렸다.
서울경찰청은 15일 하나은행 허브센터 네트워크 주변의 무선 인터넷 접속지점(AP)을 장악한 다음 고객정보 데이터베이스(DB)에 접근한 후 이를 토대로 예금을 인출하려 한 네트워크 전문가 등 해커일당 3명을 구속했다.
이날 경찰청 사이버테러대응센터는 인천 소재 모아저축은행의 대출정보 관리시스템의 루트권한(전산시스템의 모든 것을 통제할 수 있는 최고위 관리자 권한)을 확보한 뒤 은행 측이 고객정보를 사용할 수 없도록 암호를 걸고 풀어주는 대가로 거액을 요구한 미국인 J씨(24)를 검거했다.
서울지방경찰청이 구속한 이모씨(50) 등 일당 3명은 지난 2월 은행 전산망에 침투하기로 모의하고 범행 대상을 물색했다.
이씨 등이 고른 은행은 하나은행.그들이 사용한 수법은 무선인터넷 해킹이었다.
무선인터넷 해킹은 무선인터넷의 접속지점인 액세스 포인트(AP)를 장악해 고객정보와 인출내역이 담긴 DB의 데이터를 끌어오는 첨단 해킹 기법.
주범인 이씨가 KAIST 산하 고등과학원에서 네트워크 유지보수 업무를 맡은 적이 있는 전문 해커 김모씨와 네트워크 전문가인 또 다른 이모씨를 고용한 것도 이 같은 첨단 기법을 사용하기 위해서였다.
이들은 AP장치에 접근하기 위해 AP장치에서 흘러나오는 주파수를 감지하는 지향성 안테나 등 장비도 확보했다.
이들은 지난 4월 장비 구입을 마치고 서울 중구 명동에 있는 하나은행 허브센터를 타깃으로 정했다.
범행 전 하나은행 주변을 철저히 조사하는 등 주도면밀함도 보였다.
김씨는 지난 11일 0시50분부터 1시간 동안 하나은행 AP에 접근하는 작업을 시작했다.
다른 2명은 해킹을 위해 차량을 렌트하고 은행 근처에서 숨죽여 가며 주변 동향과 주파수 교란 등이 있는지를 감시했다.
마치 첩보영화에서 나오는 장면을 연출한 것이다.
김씨는 고객 DB에 접근할 수 있는 관리자 아이디와 비밀번호 등을 취득하기 위해 안간힘을 썼다.
그러기 위해서는 AP에서 흘러나오는 주파수를 잡아챈 뒤 AP장치에 접근한 후 주변에서 오고가는 패킷(데이터 묶음)을 가로채는 것(패킷 스니핑)이 먼저였다.
하지만 패킷을 가로채도 이를 해독해야 하기 때문에 남은 절차는 첩첩산중.김씨는 암호해독 후 생성한 아이디와 비밀번호를 12차례 입력했지만 허사였다.
바로 그때 해킹이 일어날 것이라는 제보를 받고 이들을 쫓던 경찰이 덮쳤다.
이들은 AP 장악 후 고객 DB에 접근하는 데 성공하면 안전하게 예금을 인출하기 위해 중국으로 도주,현지에서 인터넷뱅킹에 접속해 거액을 챙긴 후 나눠갖기로 모의했었다.
경찰 관계자는 "고도의 전문지식을 가진 일당이 해외도주 경로까지 파악하는 등 치밀한 범행계획을 세웠으며 자칫 큰 금융사고로 이어질 뻔했다"고 말했다.
이번 범행은 무선인터넷의 보안 취약점을 철저하게 이용했다는 점에서 충격을 주고 있다.
대부분의 은행들은 고객편의를 위해 무선 인터넷 뱅킹을 제공하고 있어 다른 은행들도 하나은행처럼 해킹에 노출될 가능성이 크기 때문이다.
RECENT COMMENT