미 연방은행 해킹사건으로 본 ‘은행강도’ 변천사

한국은행도 5년간 391건 해킹시도 당해

[월요신문 허인회 기자] ‘해커가 중앙은행 컴퓨터 시스템을 해킹해 인출 코드를 손에 쥔다. 그 코드를 이용해 달러를 빼간다. 그 달러는 추적이 불가능한 카지노로 들어가 행방이 묘연해진다.’
 

이는 실제 발생한 일이다. 영화 같은 범죄는 지난 2월 5일에 발생했다.

미국 중앙은행인 연방준비제도(Fed·연준)에 방글라데시 중앙은행 명의로 9억 5100만 달러(1조 1300억 원) 규모의 35건 계좌 이체가 요청됐다. 이 중 4건의 요청 금액 8100만 달러(약 1000억 원)가 필리핀 모 은행의 계좌로 이체됐고 스리랑카 은행으로 보내는 2000만 달러의 5번째 이체가 중지됐다. 수령인 철자 중 하나가 틀렸기 때문이다. 수령인 샤리카재단(Shalika Foundation)의 철자가 ‘Foundation’이 아니라 ‘Fandation’으로 돼 있었던 것. 이를 수상하게 여긴 스리랑카은행이 방글라데시 쪽에 확인을 요청함으로써 불법 이체 사실을 드러났다. 즉시 이체가 중지됐지만 8100만 달러는 필리핀 은행으로 넘어간 상태였다. 필리핀 금융당국 조사 결과 이 돈은 3곳의 카지노 업체로 흘러들어간 것으로 밝혀졌다. 문제는 필리핀 자금세탁방지법은 카지노 등 도박시설에 적용할 수 없다는 사실이다.

뒤늦게 필리핀 정부가 계좌를 동결시켜 6만8000달러(약 8000만원)를 회수했지만 나머지는 추적이 어려울 전망이다. 뉴욕타임즈(NYT)는 필리핀 테오피스토 깅고나 의원의 말을 빌어 “일단 카지노로 돈이 흘러 들어가면 더 이상 추적할 수 없다. 카지노는 아무것도 찾을 수 없는 어두운 동굴이자 블랙홀”이라 전했다.

불법이체 사건으로 방글라데시 정부와 미 연준 사이에 법적 분쟁도 예상된다. 방글라데시 당국이 “연준의 시스템이 뚫린 것”이라며 계좌관리 책임이 있는 뉴욕 연준에 소송을 제기할 뜻을 분명히 했기 때문이다. 하지만 연준은 “계좌이체 책임은 전적으로 방글라데시에 있다. 모든 이체과정은 정상적 통제시스템 아래에서 이뤄졌다”는 입장이다. 해킹이 아니라 예금주 방글라데시 중앙은행이 엉뚱한 계좌로 돈을 이체한 것이라는 주장이다.

이에 대해 월스트리트저널(WSJ)은 “신흥국 금융 시스템의 취약성, 후진성을 잘 보여주는 사례다. 경제 성장에 비해 규제나 보안시스템이 따라가지 못하고 있다는 증거”라는 의견을 내놓았다.
 

미국의 전설적 은행 강도, 존 딜린저
 

은행 강도 수법은 과거에는 주로 총을 사용해 근무자를 위협, 현금을 탈취하는 식이었다. 그 중 가장 유명한 은행 강도는 존 헐버트 딜린저다. 21살부터 감옥을 들락거렸던 딜린저는 교도소에서 당시 유명한 은행 강도 해리 피어폰트와 러셀 클라크로부터 범죄 수법을 전수받았다. 이 때 익힌 기술은 딜린저를 최고의 은행 강도로 만들어줬다.
 

1933년 가석방된 뒤 그는 딜린저 갱이라는 조직을 만들어 은행 24곳, 경찰서 4곳을 털었다. 이 과정에서 보안관 1명, 경찰관 7명, FBI 요원 3명 등 총 11명이 살해됐다. 그는 인질을 앞세워 경찰의 포위망을 뚫었으며, 탈출 후에는 인질을 풀어줬다. 아이러니하게도 대중들은 딜린저의 행각에 열광했다.

1930년대 미국은 살인적인 물가에 높은 실업률까지 겹친 대공황시기였다. 정부에 대한 반감이 높은 상황에서, 평범한 시민의 돈에는 손대지 않고 인질도 해치지 않으며 공권력을 비웃듯 수사망을 피해가는 딜린저의 모습에 대중들은 그를 현대판 ‘로빈훗’으로 여겼다. 하지만 수사 당국 입장에서 그는 공공의 적이었다. 수사진은 현상금 1만 달러까지 내걸며 전방위 체포작전에 나섰다. 결국 딜린저는 1934년 알고 지내던 포주의 배신으로 함정에 빠져 사살됐다. 한낱 은행 강도가 사망했음에도 시민들은 그의 죽음을 안타까워했다. 한 시민은 사살 현장에 남은 딜린저의 혈흔을 손수건에 묻히는 등 애도를 표하기도 했다.
 

흥미로운 점은 FBI가 딜린저로 인해 창설됐다는 것이다. 딜린저 갱 등 기승을 떨치는 조직범죄에 대응하기 위해 미 정부가 법무부 산하 수사대(Government man) 체제를 미연방수사국(Federal Bureau of Investigation)으로 개칭했기 때문이다. 일각에서는 존 에드거 후버 FBI 국장이 FBI 조직을 확장하기 위해 딜린저 사건을 언론플레이하는 등 활용했다는 소문도 있다. 딜린저의 일화는 2009년 조니 뎁 주연의 <퍼블릭 에너미>로 영화화되기도 했다.

한국은행 턴 5인조 강도단
 

우리나라에서도 은행 강도 사건은 심심치 않게 일어난다. 시중 은행이 털렸다는 뉴스는 이따금씩 접해도 중앙은행인 한국은행이 강탈당했다는 소식은 거의 없었다. 하지만 40년 전 한국은행 강도 사건이 발생한 적이 있다. 1965년 12월 한국은행 광주지점이 털린 것.
 

3명의 범인들은 12월 30일 새벽, 한은 광주지점의 담을 넘어 은행으로 침입했다. 범인들은 자신들을 발견한 수위를 때려 실신시킨 뒤 직원 3명을 칼로 위협해 6600여만 원(현재 가치 60억 원 상당)의 원화 및 외화를 챙겨 달아났다.
 

오전 7시 숙직실 직원의 신고를 받은 경찰은 즉시 전담팀을 꾸렸다. 범인의 행방은 묘연했다. 현장에서 다이너마이트 도화선이 발견된 점을 빼곤 일체의 증거가 발견되지 않았다. 심지어 범인의 것으로 추정되는 눈 위의 발자국도 깨끗이 쓸어져 있었다. 목격자들은 “강도들이 북한 사투리를 썼다”라고 증언했다. 이에 경찰은 간첩 소행 가능성을 배제하지 않는 한편 내부 소행 여부에 대해서도 수사를 벌여나갔다.

경찰은 한은 직원들의 알리바이를 하나하나 추궁했다. 그러던 중 청소부 심씨에게서 미심쩍은 점을 발견했다. 심씨가 물어보지도 않았는데 “간첩 소행같다”거나 “해안으로 도망갔을 것”이라고 말했기 때문이다. 경찰은 심씨가 의심스럽기는 했으나 결정적인 증거가 없었다. 이런 차에 제보가 들어오게 된다. 사건 당일인 30일 5시쯤 4명의 남자가 여관 골목 근처에서 리어카에 뭔가를 잔뜩 실고 가는 걸 목격했다는 것. 목격 장소를 추적한 경찰은 부근에서 심씨의 집을 찾아내 급습한다.

수사 결과, 4인조 강도단은 완전범죄를 위해 북한사투리를 연습하는 등 간첩으로 위장하고 다이너마이트 도화선을 일부러 현장에 놔둔 것으로 드러났다. 한은 담도 7차례 넘으며 치밀하게 예행 연습했다.
 

51년이 지난 지금도 한국은행을 노리는 강도가 있다. 과거 강도는 손에 흉기를 쥐었지만 요즘 강도는 손에 노트북을 가졌다. 실제로 지난 5년간 한국은행에 대한 해킹 시도는 391건에 달했다.

2015년 9월 국회 기재위 박광온 의원에게 제출된 “한국은행 연도별 해킹시도 현황”자료에 따르면 2011년부터 2015년 7월까지 해킹시도는 391건, 웜·바이러스를 이용한 공격이 80건, DDos공격이 27건, 정보를 빼내는 스캐닝이 84건으로 전체 사이버공격 시도는 총 655건이었다.

공격지역은 국내가 154건, 중국, 러시아, 미국, 일본 등 해외가 501건으로 가설사설망(VPN)을 이용한 해킹시도가 끊이지 않았다. 창과 방패의 싸움에서 아직까지는 한국은행이 이겼다. 하지만 낙관하긴 이르다. 전문가들은 “외국의 대형 은행들이 해킹 피해를 보는 상황에서 한국은행만 안전하다고 보기 어렵다. 해커들의 수법이 날로 정교해지고 교묘해지는 만큼 지속적으로 보안시스템을 강화해야 한다”라고 지적했다.
 

총 대신 컴퓨터로 무장한 은행 강도
 

복면 쓰고 총으로 은행을 터는 방식이 아직도 존재하지만, 방글라데시중앙은행 사례처럼 은행 전산망을 해킹해서 돈을 빼내는 사이버은행털이 범죄는 갈수록 기승을 부리고 있다.

2013년 미국을 비롯한 27개국에서 동시다발적인 컴퓨터 해킹으로 4500만 달러(약 500억 원)가 인출됐다. 범죄조직은 7개월에 걸쳐 훔친 직불카드 정보로 미국과 인도 등의 금융기관 컴퓨터 전산망을 해킹했다. 이유는 직불카드의 지급 상한선을 없애기 위해서였다. 그런 다음 위조 카드를 만들어 각국의 인출책에 제공, ATM에서 돈을 빼냈다.

이들은 이런 방식으로 아랍에미리트연합(UAE) 라스알카이마 국영은행(라크뱅크)의 위조 카드로 500만 달러를, 오만 머스캇 은행 카드를 통해 4000만 달러를 인출했다. 인출한 돈은 고급 승용차나 사치품을 구입해 되팔며 자금을 세탁했다.

이 사건이 가능했던 이유는 미국식 카드시스템의 보안 문제와 중동 은행의 허술한 전산망 탓이었다. 세계 많은 나라들은 복제가 힘든 메모리칩 내장형 카드를 쓰는 반면, 미국 금융회사들은 마그네틱 카드를 사용한다. 범인은 바로 그 점을 노렸다. 상대적으로 보안시스템이 취약한 중동은행의 전산망도 훌륭한 먹잇감이었다. 범인들이 세계 각지에 있는 이들 은행의 ATM으로부터 돈을 빼내는 동안 중동의 은행들은 속수무책이었다.
 

그 뒤 범인은 어떻게 됐을까. 범인 중 7명은 미국 뉴욕 검찰에 의해 금융사기·돈세탁 등의 혐의로 기소됐다. 주범인 라후드-페나는 도미니카공화국에서 살해됐다. 미 수사당국은 기소된 7명 외에 국제범죄조직과의 연루 가능성에 대해서도 조사 중이다.
 

1조 원대 은행 돈 빼낸 ‘카르바나크’
 

이들보다 한 수 위의 범죄 집단도 있다. 수사당국이 ‘카르바나크’로 명명한 이 범죄 집단은 2013년부터 2년 동안 러시아, 우크라이나, 미국, 독일, 중국, 일본 등 30여 개국 100여개 은행의 돈을 해킹으로 털었다. 추정 피해 금액은 자그마치 10억 달러, 약 1조원이 넘는다. 은행 해킹 금액으로는 역대 최대 규모다.
 

‘카르바나크’는 ‘스피어 피싱’(sphere phising)이라는 해킹 수법을 썼다. 열대 지방 어민들의 ‘작살 낚시’를 뜻하는 이 수법은 특정인의 정보를 캐내는 수법이다. 카르바나크 해커들은 특정 은행원에게 악성 소프트웨어를 심은 이메일을 보냈다. 은행원이 이메일을 열면 악성코드가 은행원 컴퓨터를 통해 은행 시스템을 감염시키는 방법이다. 이들은 바로 범죄에 나서지 않았다. 악성코드를 통해 은행원 컴퓨터를 감시해 은행의 입출금 체계를 면밀히 체크한다. 그런 다음 타 은행 계좌로 돈을 이체하거나 ATM에서 돈을 빼가는 방식을 사용했다.

‘카르바나크’ 범죄를 추적한 글로벌 보안업체 카스퍼스키측은 “해커들은 한 은행에서 1000만 달러 이상 털지 않았다. 거액이 사라지면 범죄가 일찍 발각될 것을 우려해 금액을 쪼개서 빼냈다. 매우 지능적이고 치밀한 수법”이라고 진단했다.

해커 조직은 계좌 조작을 통해 잔고 숫자를 그대로 유지해 돈이 빠져나간 것을 쉽게 눈치 채지 못하도록 하는 치밀함을 보였다.

카스퍼스키 조사에 따르면 ATM으로만 730만 달러를 털린 은행이 있고 계좌이체로 1000만 달러 피해 입은 은행도 있다. 하지만 아직 어떤 은행도 피해를 입었다고 인정하지 않았다. 수사당국은 인터폴 등과 공조해 ‘카르바나크’ 해킹 조직을 추적 중이다.