2700달러로 1.4억 달러를 훔친 브라질 은행 해킹 사건: 디지털 시대의 금융 보안 경고
2025년 6월 30일, 브라질 금융 역사상 최대 규모의 사이버 범죄가 발생했습니다. 해커들은 단 2,700달러(1만 5,000 브라질 헤알)로 기술 회사 직원을 매수해 브라질 중앙은행 연결 시스템을 장악했고, 불과 3시간 만에 6개 금융기관에서 1.4억 달러(8억 헤알)를 탈취했습니다. 이 사건은 Pix 즉시 결제 시스템과 중개업체 C&M의 취약점을 노린 정교한 공격으로, 암호화폐로의 자금 이동과 국제적 범죄 네트워크의 관여가 의심되고 있습니다. 당국은 현재 4,980만 달러 상당의 자금을 동결하는 데 성공했지만, 이미 암호화폐 거래소로 유출된 자금을 추적하는 데 어려움을 겪고 있습니다.
브라질 은행 해킹 사건의 전말
2025년 3월, 범죄자들은 C&M 소프트웨어의 IT 운영자 조앙 나자레노 로크를 표적으로 삼았습니다. 상파울루의 한 바에서 처음 접촉한 후, 로크는 5,000 헤알(약 920달러)에 자신의 시스템 접근 권한을 판매했고, 이후 추가로 10,000 헤알(1,840달러)을 받고 해킹을 지원한 혐의로 7월 3일 체포되었습니다. 범죄자들은 6월 30일 새벽 4시부터 7시까지 3시간 동안 피해 은행을 사칭해 사기성 Pix 이체 지시를 내렸고, BMP 등 6개 금융기관의 중앙은행 준비금 계좌에서 자금을 인출했습니다. 특히 BMP는 7,380만 달러(4억 헤알)의 피해를 입은 것으로 확인되었습니다.
Pix와 C&M은 무엇이며 왜 표적이 되었나?
pix는 브라질 중앙은행이 2020년 11월 출시한 즉시 결제 시스템으로, 전화번호나 이메일 등 간편한 식별자를 통해 24시간 실시간 계좌 이체가 가능합니다. 2025년 현재 월간 수십억 건의 거래를 처리하며 브라질의 대표적인 결제 수단으로 자리잡았습니다. C&M은 1992년 설립된 기술 기업으로, 23개 소규모 금융기관이 Pix 시스템에 접근할 수 있도록 중개 서비스를 제공해 왔습니다. 이 회사의 중개자 역할이 해커들에게 매력적인 표적이 된 것으로 보입니다. C&M은 공식 성명에서 "시스템 결함이 아닌 합법적 인증 정보의 무단 사용으로 발생한 사건"이라고 주장했지만, 중앙은행은 7월 2일 C&M의 모든 금융 인프라 연결을 차단하는 조치를 내렸습니다.
자금 추적과 암호화폐의 역할
범죄자들은 탈취한 자금을 즉시 라틴아메리카의 암호화폐 장외 거래소(OTC)와 거래 플랫폼을 통해 비트코인(BTC), 이더리움(ETH), 테더(USDT)로 전환하기 시작했습니다. 익명의 블록체인 분석가 ZachXBT에 따르면, 당국이 계좌를 동결하기 전에 이미 3,000만~4,000만 달러 상당이 암호화폐로 변환된 것으로 추정됩니다. 특히 한 지갑에는 4,980만 달러(2.7억 헤알)가 보관되어 있었는데, 이는 신속하게 동결되었습니다. BTCC 분석팀은 "이번 사건은 전통적인 금융 시스템과 암호화폐 시장의 경계에서 발생한 희귀한 사례"라고 평가하며, "암호화폐의 추적 가능성이 오히려 수사에 도움이 되고 있다"고 지적했습니다.
브라질 당국의 대응과 향후 전망
상파울루 주경찰과 연방경찰은 공동 조사단을 구성해 사건을 수사 중입니다. 특히 텔레그램과 왓츠앱을 통해 조정된 브라질의 복잡한 사이버 범죄 네트워크의 관여 가능성을 집중적으로 조사하고 있습니다. 피의자 로크는 조사 과정에서 4명의 다른 공범들과 음성 통화로만 접촉했으며, 15일마다 휴대전화를 변경해 추적을 피했다고 진술했습니다. 브라질 중앙은행은 현재 일부 자금을 회수하는 데 성공했지만, 비규제 암호화폐 거래소로 유출된 자금을 추적하는 데는 한계를 보이고 있습니다. 금융당국은 이번 사건을 계기로 금융 인프라 보안 강화를 위한 새로운 규제 프레임워크를 마련할 것으로 예상됩니다.
금융 보안에 대한 시사점
이번 사건은 기술 중개업체의 보안 취약성이 전체 금융 시스템에 얼마나 큰 영향을 미칠 수 있는지를 보여주는 사례입니다. 특히 직원 한 명의 인증 정보 유출이 1.4억 달러 규모의 피해로 이어질 수 있다는 점에서, 인적 요소 관리의 중요성이 다시 한번 강조되었습니다. 또한 실시간 결제 시스템의 편의성과 보안 사이에서 적절한 균형을 찾는 것도 금융당국과 기업들에게 중요한 과제로 떠올랐습니다. btcc 연구소는 최근 보고서에서 "전 세계적으로 실시간 결제 시스템이 확산되는 가운데, 이번 브라질 사건은 다른 국가들에게도 경종을 울리는 사건"이라고 평가했습니다.
해킹 사건 FAQ
이번 브라질 은행 해킹 사건의 규모는 얼마나 되나요?
해커들은 2025년 6월 30일 새벽 3시간 동안 6개 금융기관에서 총 1.4억 달러(약 8억 브라질 헤알)를 탈취했습니다. 이는 브라질 역사상 최대 규모의 디지털 금융 범죄로 기록되고 있습니다.
해커들은 어떻게 시스템에 접근할 수 있었나요?
해커들은 C&M 소프트웨어의 IT 운영자 한 명을 2,760달러(1만 5,000 헤알)에 매수해 합법적인 시스템 접근 권한을 획득했습니다. 이 직원은 자신의 인증 정보를 판매한 후 추가 금액을 받고 해킹을 지원한 혐의로 체포되었습니다.
탈취된 자금은 어떻게 처리되었나요?
범죄자들은 탈취한 자금의 상당 부분을 라틴아메리카의 암호화폐 장외 거래소를 통해 비트코인, 이더리움, 테더 등으로 전환했습니다. 현재까지 약 4,980만 달러 상당이 동결되었지만, 3,000만~4,000만 달러는 이미 암호화폐로 변환된 상태입니다.
Pix 시스템은 무엇이며 왜 이번 사건의 표적이 되었나요?
Pix는 브라질 중앙은행이 운영하는 실시간 결제 시스템으로, 24시간 즉시 계좌 이체가 가능합니다. C&M은 여러 소규모 금융기관이 Pix 시스템에 접근할 수 있도록 중개하는 역할을 했기 때문에, 해커들에게 매력적인 표적이 되었습니다.
이번 사건으로 인해 일반 고객들은 피해를 입었나요?
공식적으로는 고객 예금이 아닌 은행의 준비금 계좌가 공격을 받았기 때문에 일반 고객들의 직접적인 피해는 없는 것으로 알려졌습니다. BMP를 비롯한 피해 기관들은 고객 자금을 보호하기에 충분한 담보를 확보하고 있다고 발표했습니다.