스웨덴의 은행인 노르디아(Nordea)는 700~800만 스웨덴 크로나(한화 약 10억 4,400만원)를 고객의 인터넷 뱅킹 정보를 빼낸 범죄조직이 이체해갔다고 ZDNet UK에 밝혔다. 보안 회사인 맥아피는 이 사건을「사상 최대의」온라인 은행 강도 사건이라고 표현했다.

노르디아 은행은 지난 15개월 동안 250명의 고객들이 맞춤형 트로이 목마가 숨어 있는 이메일 공격을 받았다고 밝혔다. 맥아피는 스웨덴 경찰이 러시아 범죄 조직이 이 공격의 배후에 있다고 생각한다고 전했다. 현재 121명의 사람들이 관련된 것으로 보고 수사 중이다.

맥아피에 의하면 이 공격은 이 은행의 이름으로 일부 고객들에게 보내진 맞춤형 트로이 목마로 시작됐다. 발신자는 고객들에게「스팸 퇴치」프로그램을 다운로드하도록 권했다. raking.zip이나 raking.exe라고 하는 첨부 파일을 다운로드한 사용자들이 트로이 목마에 감염됐다. 일부 보안 회사들은 이 트로이 목마를 핵스도어(haxdoor.ki)라고 부른다.

핵스도어는 일반적으로 키 로그 작성 프로그램을 설치해 키입력을 기록하며 루트킷을 사용해 자신의 존재를 감춘다. .ki 변형 트로이 목마는 사용자가 노르디아 온라인 은행 사이트로 로그인하려고 하면 작동이 된다. 은행은 사용자들이 가짜 홈 페이지로 들어가 로그인 번호를 포함한 중요한 로그인 정보를 입력했다고 전했다.

사용자들이 정보를 입력한 뒤 사이트에 기술적인 문제가 발생했다는 오류 메시지가 나타난다. 그 다음 범죄자들은 몰래 알아낸 고객 상세 정보를 사용해 실제 노르디아 웹 사이트에서 고객 계좌의 돈을 인출한 것이다.

맥아피는 스웨덴 경찰이 그 로그인 정보가 미국에 있는 서버로 갔다가 러시아로 전달됐음을 확인했다. 경찰은 이 은행 강도들이 범죄 조직이 벌인 작업이라고 확신하고 있다.

노르디아 은행의 부 에흘린(Boo Ehlin) 대변인은 피해를 입은 대부분의 사용자들은 안티바이러스 프로그램을 사용하지 않았다고 말했다. 은행은 피해를 입은 모든 고객들의 계좌를 원래대로 채워줬다.

에흘린은 노르디아 보안 절차의 결함이 아니라 그 은행 강도가 성공적으로 사용한 사회공학 기술을 비난했다.

그는 “이것은 보안 문제라기보다는 정보의 문제”라며 “코드는 매우 중요한 것인데 고객들은 은행의 보안 장치를 여는 열쇠를 속아서 넘겨줬다”라고 지적했다.

사기 행위에 맞서기 위해 대부분의 은행은 고객이라고 주장하는 사람들의 움직임을 모니터하는 방침을 세우고 있으므로 일상적이 아닌 거래 행위를 조사해 사기인 경우는 정지시킬 수 있다.

노르디아 은행의 경우, 시도된 일부 거래에 거액이 관련됐기 때문에 허위라는 것을 알게 됐다. 하지만 15개월 동안 이루어진 많은 소규모 거래를 통해 범인들은 결과적으로 거액을 이체할 수 있었다.

에흘린은 “어떤 경우에는 거래가 허위라는 것을 알 수 있었지만, 그렇지 못한 경우도 많았다”라고 말했다. 그는 이어 “모든 이체를 지켜볼 수는 없으며, 고객이 직접 이체를 한 것처럼 보였다”라며 “대부분의 경우는 일상적이라고 생각할 수 있는 소액이었다”라고 강조했다.

노르디아는 스웨덴에만 200만 명의 인터넷 뱅킹 고객이 있다. 경찰 조사가 진행 중이며, 은행은 현재 보안 절차를 검토하고 있다.

한편 경찰은 지난해 10월에 수천 명의 영국 사용자들이 헥스도어 트로이 목마 변형 프로그램으로 피해를 입었다고 경고했다.   Tom Espiner ( ZDNet UK )   크..