첩보영화보다 더 스릴 넘치는
방글라데시 중앙은행 거액예금강탈사건

지난 2016년 2월 북한해커들의 방글라데시중앙은행 거액예금탈취사건은 단순히 북한해커들 만이 아니라 중간경유은행과 가명계좌, 돈세탁담당자까지 미리 물색하는등 해킹, 돈세탁, 인출 등 3단계의 전체그림을 그린 북한의 조직적 범행으로 드러났다. 특히 북한은 13개월이상 준비 끝에 당초 2억 7천만달러를 강탈하려 했으나 송금받는 단체의 영어스펠링을 잘못 적는 등 실수로 인해 8100만달러 강탈에 그친 것으로 드러났다. 이들은 36건의 송금지시를 조작하면서 35건의 송금중계은행정보를 잘못 입력, 혼비백산했던 것으로 밝혀졌다. 이같은 사실은 지난 1월 31일 방글라데시중앙은행이 필리핀은행등을 상대로 손해배상소송을 제기하면서 밝혀진 것이다. 첩보영화보다 더 손에 땀을 쥐게 하는 북한의 방글라데시 중앙은행 거액예금강탈사건을 시간대별로 재구성해본다.
안치용(시크릿 오브 코리아 편집인)

지난 2016년 2월 4일 목요일 밤, 방글라데시의 일주일이 마무리되고 휴일이 시작되는 시간 이었다. 방글라데시는 일요일부터 목요일까지 평일근무를 하고 금요일과 토요일이 쉬는 날이다. 같은 시간 필리핀은 음력설 연휴가 시작되는 시점이었다. 2월 5일 금요일부터 음력설인 2월 8일 월요일까지 나흘간의 황금연휴를 맞은 것이다. 즉 2월 5일부터 2월 8일까지는 방글라데시, 필리핀 두 나라의 연휴가 뒤섞여 엄청난 사건이 발생해도 며칠간 묻힐 수 있는 절묘한 타이밍이었다.

2월 4일 목요일 밤 8시36분, 방글라데시중앙은행 직원들이 모두 퇴근한 시점에 북한해커들이 활동을 개시했다. 은행전산시스템을 해킹, 예금강탈에 나선 것이다. 북한해커들이 방글라데시 중앙은행을 타켓으로 삼은 것은 이미 13개월전인 2015년 1월, 이때부터 방글라데시 은행간부들에게 이 은행에 취직하고 싶다며 일자리를 구한다는 이메일을 지속적으로 보내기 시작했다. 해킹프로그램이 심어진 피싱이메일이었다. 누군가 한명이라도 이 이메일을 열어본다면 자동적으로 은행전산시스템에 해킹프로그램이 심어진다.

1시간41분 동안 36건, 2억7천만 달러 송금지시

2015년 3월 드디어 누군가 이메일을 열어 봄으로서 방글라데시은행 전산시스템에 성공적으로 침투했고 이때부터 자유자재로 전산시스템에 드나들 수 있는 백도어가 구축됐다. 마음만 먹으면 언제나 침투할 수 있게 된 것이다.
북한해커들은 2월4일 밤 은행전산시스템에 들어간 뒤 19분 뒤인 8시55분부터 자신들의 입맛대로 거액송금지시를 내리기 시작했다. 북한해커들은 2월 4일을 디데이로 삼은 후 이미 엿새전인 1월 29일 은행 간 송금시스템인 스위프트라이브시스템에 해킹프로그램을 심고 초조하게 이날이 오기만을 기다렸었다. 북한해커들은 8시55분부터 10시36분까지 약 1시간41분 동안 모두 36건, 2억7천만 달러의 송금지시를 내렸다.

▲ 방글라데시중앙은행의 필리핀 리잘상업은행등을 상대로 한 손해배상소송장

방글라데시중앙은행의 외환결제 85%이상을 수행하는 뉴욕연방준비은행에 거짓송금지시를 내린 것이다. 36건 중 35건의 필리핀소재 리잘상업은행으로, 1건은 스리랑카의 팬아시아뱅크로의 거액송금을 요구했다.
아뿔사, 스리랑카 팬아시아뱅크에 개설된 사리카재단으로 2천만달러 송금지시를 내렸지만 뉴욕연방준비은행에서 이 돈을 송금 받은 은행 측이 재단에 지급을 거부했다. 팬아시아뱅크의 꼼꼼한 일처리로 큰 피해를 막은 것이다. 해커들이 사리카재단의 영문표기에서 재단을 의미하는 ‘FOUNDATION’을 ‘FUNDATION’으로 표기해서 송금지시를 내린 것이다. 재단의 영문스펠링에서 ‘O’자를 빼는 바람에 한순간에 2천만 달러 강탈이 수포로 돌아간 것이다.

북한해커들의 실수는 이뿐이 아니었다. 필리핀 리잘상업은행으로 송금을 지시한 35건에 대해 보완지시가 내려졌다. 리잘상업은행은 뉴욕연방준비은행에 계좌를 개설하지 않았기 때문에 미국내 다른은행, 즉 중계은행을 통해 송금을 해야 하는데 이 중계은행에 대한 정보를 송금지시서에 상세히 기록하지 않은 것이다. 1시간 41분간 손에 땀을 쥐며 송금지시서를 조작했지만 1인치가 부족했던 셈이다.

그러나 13개월 이상 공들여 준비한 작전을 여기서 멈출 수는 없었다. 북한해커들은 2월 4일 밤 11시30분부터 2월5일 새벽 1시까지 다시 35건의 송금 지시서를 업데이트해 뉴욕연방준비은행에 재전송했다. 리잘상업은행의 송금중계은행은 웰스파고은행과 뉴욕멜론뱅크, 시티뱅크 등 3개 은행이었다. 이들 중계은행정보를 정확하게 1시간30분동안 재입력했다. 여기서 또 한 건이 좌절됐다. 35건의 송금지시 중 가장 큰 금액인 1억7천만 달러를 리잘은행으로 송금하는 지시가 어찌된 영문인지 승인을 받지 못했다.

스리랑카 2천만달러 송금, 철자하나 틀려 실패

하지만 나머지 34건은 모두 성공, 이제 뉴욕연방준비은행이 송금중계은행에 송금하면 중계 은행이 이 돈을 필리핀 리잘상업은행에 송금하면 끝이다. 북한은 방글라데시은행 강탈을 위해 필리핀 리잘상업은행을 경유은행으로 선택했고 이미 지난 2015년 5월 15일 실존하지 않는 인물의 5명의 이름으로 5개의 계좌를 개설하고 각각 5백 달러씩을 예치했다. 그리고 12월 8일 페소화만 거래가 가능했던 이 계좌를 달러화를 거래할 수 있는 외환계좌로 변경했다. 개설 뒤 9개월간 이 5개의 계좌는 일체 거래가 없었다. 그러나 2월 4일 깊은 밤 이들 계좌가 활동을 시작했다. 상상할 수 없을 정도의 거액이 돈이 꽂히기 시작한 것이다.

▲ 방글라데시중앙은행의 필리핀 리잘상업은행등을 상대로 한 손해배상소송장

북한해커의 단말기로 ‘송금완료’라는 통보가 뜨기 시작했다. 송금중계은행을 업데이트하고 있는 동안 이미 송금이 하나하나 이뤄지고 있었던 것이다. 리잘상업은행 마이클 프란시스코 크루즈 명의의 계좌에 2월 4일밤 11시26분 6백만달러가 송금됐다. 송금명목은 컨설턴트피 로 기재돼 있었으며, 뉴욕연방준비은행이 웰스파고은행을 거쳐 리잘상업은행으로 송금한 것이다. 리잘상업은행은 송금접수와 동시에 수수료 3755달러를 챙겼다.

그로부터 33분 뒤인 2월4일 밤 11시59분, 자정을 1분 남긴 시점에서 뉴욕멜론뱅크를 경유해서 3천만 달러가 크리스토퍼 망고 라그로사스의 계좌에 송금됐다. 월척이다. 송금명목은 ‘다카고속철도개발프로젝트’였다. 또 1분 뒤인 방글라데시시각 2월5일 0시 정각, 2천만 달러가 웰스파고은행을 거쳐서 알프레드 베르가라명의의 계좌에 입금됐다. 엔지니어링컨설팅피 명목이었다. 그로부터 또 2분뒤인 2월 5일 0시2분 2500만달러가 시티뱅크를 통해서 엔리코 테오도르 바즈케즈의 계좌에 꽃혔다. 방글라데시교량공사건설비명목이었다. 8100만달러 송금이 36분만에 마무리됐다는 통보였다. 라잘상업은행에 미리 개설한 5개 계좌중 랄프 캄포 피카체계좌에 송금하려던 1억7천만달러는 결국 실패했지만 나머지는 모두 성공이었다. 그래도 북한해커들은 혹시 몰라 새벽1시까지 송금중계은행 업데이트를 계속한 것으로 드러났다. 혹시라도 실패하면 목이 10개라도 살아남기 힘들다.

은행 측 로그정보 접근하지 못하도록 치밀한 조작

북한해커들은 8100만 달러가 성공적으로 송금된 것을 확인한 뒤 흔적지우기에 나섰다. 방글라데시중앙은행이 2월5일과 6일 이틀간 휴점이어서 발각될 우려는 적지만 만에 하나의 경우를 우려, 접속흔적을 모두 지웠으며, 은행 측이 로그정보에 접근하지 못하도록 조작했다.

또 스위프트시스템을 통해 송금을 지시하면 자동적으로 기록을 남기기 위해 스위프트프린터가 작동돼 이 지시를 인쇄하지만 이마저 작동되기 못하도록 고장내 버렸다. 그리고는 3시59분 유유히 스위프트시스템에서 빠져나왔다. 해킹시작 7시간23분만이었다. 이로서 해커들의 임무는 완료된 것이다;

▲ 북한해커 박진혁 방글라데시중앙은행등 해킹경로도 – 연방법원 기소장

이제부터는 이미 섭외한 필리핀 내 리잘상업은행 관계자와 카지노업자들이 투입될 시기다. 필리핀 내 공범으로 카지노관련인물인 옹 김은 크루즈의 계좌에 6백만 달러가 입금된다는 사실을 알고 라잘상업은행 직원인 마이아 데귀토에게 수차례 연락, ‘곧 거액이 입금되면 필렘계좌를 통해 돈세탁을 하라’고 지시했다. 또 ‘이미 이 건은 로렌조 탄 은행장과 상의한 일’이라고 강조했다. 필렘은 필리핀정부의 허가를 받은 업체로 송금전문업체로 알려졌으며 북한이 해킹한 돈의 돈세탁을 주도적으로 처리한 업체다. 북한이 이미 해킹이전부터 빼낸 돈을 송금할 은행과 송금받을 계좌를 준비한 것은 물론 돈세탁을 담당할 업체와 인물까지 섭외해 놓은 것이다. 즉 북한의 특정조직이 해킹과 송금, 돈세탁등 큰 그림을 그리고 철저한 역할분담을 하는 등 세밀한 준비를 한 것이다.

필렘은 방글라데시 중앙은행이 송금한 돈을 리잘상업은행이 설 연휴로 휴무임에도 불구하고 이미 2월 5일부터 이 은행에 개설한 필렘의 계좌 또는 관련인물들의 계좌로 수차례 이체하며 돈세탁에 나섰다. 필렘은 또 2월 5일 오후 2시51분에는 라그로사스계좌에서 1350만 달러를 필리핀페소로 바꾸라고 데귀토에게 지시했고 데귀토는 불과 9분만인 오후 3시 또 다른 송금대행업체 고센추리텍스명의로 계좌를 오픈하고, 13분뒤인 오후 3시13분 3천만 달러중 2273만5천달러를 이체하는 기동력을 발휘했다.

▲ 방글라데시중앙은행 예금강탈과 관련, 해킹으로 인한 송금내역과 돈세탁에 관련된 개인과 업체의 돈세탁내역

그리고 불과 14분 뒤인 3시27분 고센추리택스계좌에서 또 다른 계좌로 1420만 달러가 이체되는 등 순식간에 서너 바퀴를 돌았다.필렘은 또 오후 3시33분부터 오후 5시49분까지 달러계좌에서 1247만달러를 인출, 페소화계좌로 입금하고, 페소화계좌에서 이 돈을 매니저 5명에게 5장의 수표로 지급한 뒤, 다시 팔렘의 방코데오로유니뱅크계좌와 메트로폴리탄뱅크계좌로 입금하도록 하는 등 치밀한 돈세탁을 실시했다.

리잘상업은행에 개설된 마이클 프란시스코 크루즈계좌는 2016년 2월 5일 6백만 달러를 송금받은 뒤 2월 5일 3755달러, 2월 9일 598만5천 달러, 2월 12일 1만891달러 등 3차례에 걸쳐 전액이 빠져 나갔다. 크리스토퍼 망고 라그로사스계좌는 2월 5일 3천만 달러가 입금된 뒤 2월 5일에만 두 차례에 걸쳐 1만8755달러와 2273만5천 달러, 2월 9일 723만6천 달러, 2월 12일 1만619달러 등 전액이 인출됐다.

알프레드 베르가라의 계좌도 2월 5일 2천만 달러가 송금된 뒤 2월 2일 1만2504달러, 2월 9일 1995만 달러, 2월 12일 3만여 달러 등 3차례에 걸쳐 전액이 인출됐고 엔리코 데오도로 바즈케즈의 계좌도 2월 5일 2500만달러 송금뒤 2월9일 2차례에 걸쳐 1521만달러와 976만여달러등 전액이 빠져나갔다. 은행이 문도 안여는 2월5일 이미 2300만달러정도가 돈세탁됐고 설연휴가 끝난 9일 은행이 문을 열자마자 나머지 5800만달러상당을 곧바로 인출한 것이다. 2월9일 은행간 돈거래등을 통한 1차 돈세탁이 이미 끝나고 돈을 빠져나갔다,

그렇다면 방글라데시중앙은행은 언제 8100만 달러 강탈사실을 알았을까? 방글라데시은행은 2월 8일 월요일 오후 5시5분께 이 사실을 알았던 것으로 보인다. 2월 5일과 6일 주말휴무를 마치고 2월 7일 출근했지만 돈이 사라진 사실을 몰랐고 월요일 오후 마감시간 전에 이를 파악한 것이다.

8100만 달러가 2월 4일 밤11시 반경부터 2월5일 0시2분 사이에 강탈당한 것을 감안하면 89시간, 사실상 나흘 뒤에야 이를 알아챈 것이다. 방글라데시 중앙은행은 2월 8일 오후 5시5분부터 12분까지 필리핀 리잘상업은행에 스위프트메시지를 보내 바즈케즈, 베르가라, 라그로사스등 3개 계좌에 대한 지급중단을 요청했다. 또 만약 이들 계좌에 돈이 송금됐다면 이를 동결해 달라고 요청했다. 방글라데스중앙은행은 이 메시지에서 ‘TOP URGENT’라는 단어를 세 번이나 사용하며 지급중단 ‘STOP PAY’를 외친 것으로 확인됐다. 버스 지나고 손을 든 격이다.

지급중단요청에도 계좌 동결지시 내리지 않아

그러나 이때는 필리핀의 설 연휴 마지막 날로 라잘상업은행이 휴무였다. 데귀토 등 미리 공모한 라잘상업은행 직원은 이미 거액 송금은 물론 돈세탁까지 했지만 시치미를 뚝 떼고 있었다. 라잘상업은행이 이 긴급메시지를 확인한 시간은 2월 9일 화요일 오전 9시11분, 로그인기록을 확인한 결과 이때 스위프트서버에 접속한 것으로 나타났다.

▲ 방글라데시중앙은행 예금강탈과 관련, 웨이캉 수는 6억페소, 미화 1800만달러등, 미화 3064만달러상당을 현금으로 받은뒤 이를 돈세탁한 혐의를 받고 있다.

그나마 라잘상업은행 본점이 해당계좌가 개설된 주피터지점에 해당메시지를 전달한 시간은 1시간50분이 지난 오전 10시 59분, 이날 아침 미처 빼내가지 못한 5820만 달러 상당을 모두 인출하지 못한 시점이었다. 그러나 라잘상업은행측은 즉각 지급중단, 계좌동결지시를 내리지 않았다. 5820만 달러가 인출된 시간은 2월 9일 오전 10시24분부터 11시37분까지였다. 필렘측은 그 뒤 이날 인출한 5820만 달러 중 4290만 달러는 일단 고센추리텍스계좌에, 1520만 달러는 필렘의 라잘상업은행 우니마트지점에 입금했다.

이처럼 돈 인출은 물론 한차례 더 세탁까지 거쳤다. 어이없게도 리잘상업은행은 오후 3시31분에야 지급중단과 계좌동결을 지시했다고 방글라데시 중앙은행에 통보했다. 검은 돈이 모두 빠져나간 뒤였다. 특히 방글라데시중앙은행은 6백만달러가 송금된 크루즈의 계좌는 제대로 확인을 못해 2월 10일에야 리잘상업은행측에 지급중단을 요청한 것으로 밝혀졌다. 그야말로 뒷북이다. 은행 관리가 제대로 이뤄지지 않은 것으로 드러났다.

북한측의 돈세탁은 여기서 그치지 않는다. 은행내 거래, 다른 은행과의 거래 등 금융기관을 이용한 거래는 1차 돈세탁이었다. 북한은 금융당국의 추적을 막기 위해 미리 준비해둔 2차 돈세탁을 감행했다. 카지노 등을 통해 돈을 흔적을 완전히 지워버리는 것이다. 돈세탁의 주도적 역할을 한 필렘은 8100만 달러중 약8070만 달러를 페소화로 환전했다. 약 29억페소에 달한다.

29억페소 중 13억6500만페소, 미화 2900만 달러는 블룸베리로 알려진 솔레이어카지노로 입금됐다. 2월 5일 강탈당일 5억6500만페소, 2월 10일 8억페소가 입금된뒤 중국인인 딩과 가오등 19명이 입금증을 제시하고 2900만달러 전액을 카지노칩으로 바꿔 가버렸다. 딩은 솔레이어카지노의 하이롤러용 카지노칩을 바꿔 갔으며 이 칩은 2월 5일부터 3월 10일까지 전액 게임에서 소진된 것으로 드러났다. 칩을 추적하면 당연히 게임에 사용된 것으로 나오지만 누군가 그 칩을 재판매해 현금으로 바꿔간 것이다.

3천만 달러 현금 중국인 거쳐 돈세탁

10억패소, 미화 약 2100만달러는 이스턴하와이레저라는 카지노에 입금됐다. 리잘상업은행에서 필리핀내셔널뱅크의 이 카지노계좌로 이체됐으며 계좌주인은 리잘상업은행 직원을 좌지우지했던 옹 김 이었다. 옹은 송금대행업체 필렘으로 부터 2월 10일 필렘으로 부터 이스턴하와이계좌로 5억페소를 송금받자마자 전액을 인출, 4억페소는 자신의 필리핀내셔널뱅크로 옮기고 1억페소는 현금으로 보관했다. 그러나 같은 날 다시 4억페소를 현금으로 인출한뒤 그 다음날 다시 4억페소를 이스턴하와이레저 계좌로 입금하는등 3차례나 세탁을 했다.

옹은 2월 11일에도 필렘으로 부터 5억페소를 송금받은 뒤 같은 날 7차례에 걸쳐 9억페소를 인출했고 그 전날 인출한 1억페소를 포함, 10억페소의 현금이 2월 11일 쥐도 새도 모르게 사라졌다.
마지막 남은 돈은 약 3064만달러, 웨이캉 수, 딩 지체, 가오 수후아등 3명은 필렘으로 부터 모두 현금으로 받은 뒤 이를 누군가에게 넘기고 자취를 감춘 것으로 확인됐다. 2월 5일부터 2월 23일까지 6억페소와 미화 1800만 달러를 넘겨받았다는 것이다.

이처럼 북한은 1차 은행 간 복잡한 돈 거래 등을 통해 돈을 여러 바퀴 돌린 뒤 마지막에는 카지노 2군데와 현금 환치기 등을 통해 전액 현금으로 바꾼 뒤 유유하게 사라진 것이다.
이 같은 사실은 북한에 의해 8100만달러 피해를 입은 방글라데시 중앙은행이 지난 1월31일 뉴욕남부연방법원에 제출한 103페이지에 달하는 소송장을 통해 드러난 것이다. 이 소송의 피고는 리잘상업은행과 직원 8명, 필렘서비스와 관련자 5명, 솔레이어리조트앤카지노로 알려진 블룸베리리조트앤호텔, 마이다스호텔앤카지노로 알려진 이스턴하와이레저컴퍼니, 옹김, 웨이캉 수, 딩 지체, 가오 샤후아등 개인4명등 법인이 4개, 개인이 17명에 달한다. 뉴욕연방 준비은행을 통해 송금이 진행된 만큼, 자신들도 소송에 적극 협조를 다짐했다.

이 사건은 단순히 북한이 해커만 동원한 것이 아니라 해킹 – 1차 돈세탁 – 2차 돈세탁 – 현금잠적 등 거대조직이 큰 그림을 그리고 철저한 역할분담을 통해 현금을 강탈한 사건이다. 마치 커다란 기업처럼 철저한 밑그림속에 톱니바퀴처럼 움직인다. 철저히 응징하지 않는 한 또 다른 은행이 타킷이 될 수 밖에 없다