브라질의 1억 4천만 달러 은행 강도 사건, 단 2,700달러로 실행

신뢰와 보안의 경악스러운 위반 사건에서 해커들이 브라질의 6개 은행에서 약 1억 4천만 달러(약 8억 레알)를 훔쳤습니다. 이들은 단 2,700달러의 뇌물을 주고 IT 직원을 매수했습니다. 이 사이버 공격은 2025년 6월 30일에 발생했으며, 은행과 브라질 중앙은행 및 인기 있는 PIX 즉시 결제 네트워크를 연결하는 주요 중개업체인 C&M 소프트웨어를 목표로 했습니다.

디지털 강도 사건은 공격자들이 C&M 소프트웨어의 48세 IT 기술자인 조앙 나자레노 호케에게 회사 로그인 자격 증명을 넘기도록 돈을 지불하면서 시작되었습니다. 이를 통해 해커들은 금융 기관을 중앙은행의 준비 시스템에 연결하는 인프라에 접근할 수 있었습니다. 이 공격은 Banco BMF를 포함한 6개 은행에 영향을 미쳤으며, 같은 날 실행되었습니다.

술자리에서 계획된 음모

브라질 언론 보도에 따르면, 호케는 3월 상파울루의 한 바에서 사이버 범죄자들에게 처음 접근받았습니다. 처음에는 캐주얼한 접근이었지만, 이는 고위험 작전으로 발전했습니다. 경찰에 따르면 호케는 C&M 회사의 로그인과 비밀번호를 넘겨주고 5,000레알(약 920달러)을 받았습니다.

그 후 그는 시스템 내에서 특정 명령을 수행하기 위해 10,000레알(약 1,850달러)을 추가로 받았으며, 이는 100레알 지폐로 지급되었습니다. 이를 통해 해커들은 탐지되지 않고 도난을 실행할 수 있었습니다.

호케는 사이버 범죄자들과 오직 휴대폰으로만 소통했으며, 15일마다 휴대폰을 자주 바꾸어 탐지를 피하려고 했습니다. 또한 그의 지급은 오토바이 배달원을 통해 전달된 것으로 알려졌습니다. 그럼에도 불구하고 그는 2025년 7월 3일 상파울루 경찰에 의해 체포되었습니다.

기술적 결함이 아닌 인적 결함

C&M 소프트웨어는 이번 위반 사건이 시스템의 취약점에서 비롯된 것이 아니라, 신뢰할 수 있는 내부자를 조작하여 공격자들이 시스템과 프로세스에 접근하도록 도운 사회 공학의 결과라고 강조했습니다. 이는 기관의 준비 계좌에서 자금을 전용하기 위한 것이었습니다.

시스템 내부에 들어간 해커들은 개별 고객 계좌가 아닌 금융 기관들이 서로 자금을 이동하는 데 사용하는 준비 계좌에서 돈을 빼냈습니다. 개별 고객 계좌는 영향을 받지 않았지만, 공격의 규모와 속도는 사이버 보안 전문가와 금융 규제 당국을 모두 놀라게 했습니다.

즉각적인 여파와 대응

위반 사건이 발견되자마자 브라질 중앙은행은 C&M 소프트웨어에 모든 은행 시스템과의 연결을 끊도록 명령했습니다. 보안 예방 조치로 PIX 관련 서비스는 잠시 중단되었습니다.

브라질 당국은 약 5,500만 달러(2억 7천만 레알)의 도난 자금을 동결하고 호케를 체포했습니다. 도난된 돈의 일부인 3천만 달러에서 4천만 달러는 이미 암호화폐로 세탁된 것으로 보이며, 비트코인(BTC), 이더리움(ETH), 테더(USDT)를 포함하여 라틴 아메리카의 암호화폐 거래소와 규제되지 않은 OTC 시장을 통해 이루어졌습니다. 블록체인 조사관인 ZachXBT에 따르면, 그는 현재 브라질 법 집행 기관과 협력하여 강도 사건과 관련된 세탁된 자산을 추적하고 가능한 한 도난 자금을 동결하고 있습니다.

다음은 무엇인가?

C&M 소프트웨어는 현재 시스템이 다시 온라인 상태이며, CMSW의 보호 구조가 부적절한 접근의 출처를 식별하고 위반을 신속하게 격리하는 데 결정적이었다고 주장했습니다.

“지금까지의 증거는 이번 사건이 접근 자격 증명을 부적절하게 공유하기 위해 사회 공학 기술을 사용한 결과이며, CMSW의 시스템이나 기술의 실패 때문이 아니라는 것을 시사합니다. 우리는 CMSW가 사건의 원인이 아니며 모든 제품과 서비스가 정상적으로 작동하고 있다고 강조하고 싶습니다.”라고 C&M은 성명에서 밝혔습니다.

한편, 중앙은행은 PIX 거래에 대한 감독을 강화했으며, 조사관들과 긴밀히 협력하여 더 많은 자금을 추적하고 회수하고 있다고 전했습니다.