[데이터넷] 지난해 국내 금융권을 대상으로 활동해 온 ‘TA505’ 공격그룹의 상세 분석 보고서가 공개됐다. 금융보안원은 러시아 기반 공격그룹으로 추정되는 ‘TA505’가 지난해 상반기부터 8월까지 국내 금융기관을 공격해왔으며, 9월 이후 미국, 유럽으로 이동했다고 30일 밝혔다.

금융보안원이 30일 공개한 ‘TA505 위협그룹 프로파일링’ 보고서에 따르면 이들은 국세청 전자세금계산서, 전자항공권, 전자세금계산서 등을 사칭한 악성 메일(스피어피싱)을 이용해 국내 금융기관을 공격해왔다. 특히 국세청 사칭 전자세금계산서와 대한항공 사칭 전자항공권은 정상적으로 발송되는 메일 포맷과 유사하게 제작돼 사용자들을 교묘하게 속이려했다. 또한 국내 특정 백신과 랜섬웨어 방어 솔루션을 무력화하는 기능도 포함돼 있었다.

AD 관리자 계정 탈취해 내부망 랜섬웨어 유포

TA505는 2014년부터 전 세계 주요 기업과 금융기관을 대상으로 활동해 온 그룹으로, 중요정보 탈취와 금전적인 목적으로 랜섬웨어와 원격제어 악성코드를 심은 악성메일을 유포한다. 우리나라에서는 2018년 기업을 대상으로 한 공격이 처음 발견됐다.

이들이 공격에 사용한 악성문서에는 백신 탐지를 우회하기 위해 엑셀 4.0 매크로, VBA 매크로, html 등 다양한 형식의 악성코드가 숨어었다. 악성코드는 기업 내부망 정책, 소프트웨어, 업데이트를 일괄 적용하는 AD 서버 해킹과 계정 탈취, 랜섬웨어 등의 활동을 한다.

이들은 개인보다 대규모 피해를 일으킬 수 있는 기업, 금융기관, 병원 등을 노리고 있으며, 기업 PC를 감염시킬 경우 내부망의 SMB 취약점을 이용해 AD 서버를 해킹한다. AD 서버 관리자 계정을 탈취하고 내부망 PC에 클롭 랜섬웨어를 전파하는데, 이 랜섬웨어는 국내 특정 백신과 랜섬웨어 탐지 솔루션을 삭제하고 랜섬웨어 탐지용 파일을 무력화한다. 또한 시스템 시작 프로그램에 포함돼 시스템을 시작할 때 마다 자동으로 동작한다.

금융보안원은 지난해 5월 ‘이메일 스틸러(Email Stealer)’ 악성코드를 발견했는데, 이 악성코드는 유효한 디지털 서명을 갖고 있었으며, PC에서 탈취한 이메일 정보를 C&C로 유출했다. 목표 대상 기업과 파트너 임직원 이메일 및 개인정보를 확보하기 위한 공격으로 추정된다.

원격제어 악성코드인 플로우드 아미도 공격에 사용됐는데, 이 악성코드는 실행 후 ‘타이니멧(TinyMet)’ 악성코드에 자가삭제 기능이 추가된 악성코드를 추가로 다운로드한다. 타이니멧은 리버스 쉘 공격에 사용되며, 실행 후 파일을 삭제해 공격 흔적을 지운다. 이 악성코드는 카바낙(Carbanak) 공격그룹이 사용한 ‘베이비밀(BABYMETAL)’ 악성코드와 유사하다. 카바낙은 2015년 전 세계 30개국 은행을 해킹해 10억달러를 훔친 악명높은 사이버 범죄조직이다.

금보원 “금융권 타깃 공격 선제 대응”

한편 금융보안원은 TA505 위협 그룹 프로파일링 보고서를 토대로 국내 금융권대상 피싱 공격과 랜섬웨어 등 신종 사이버 공격 대응 요령을 금융권과 지속적으로 공유할 예정이다. 또한 사이버 위협에 금융권이 신속하게 대응할 수 있도록 금융권에 전문적이고 특화된 최신 사이버 위협과 공격에 대한 인텔리전스 보고서를 매년 정기적으로 발간할 계획이다.

김영기 금융보안원장은 “전형적인 사이버공격 수단인 악성 메일을 이용한 피싱 공격이 점점 지능화·고도화되는 상황에서 국내 금융권 피싱 공격 배후인 TA50 5그룹을 추적·분석한 결과를 금융권과 공유함으로써 금융권이 주요 정보 유출, 중요 파일 암호화 등 발생 가능한 피해에 선제적으로 대응할 수 있을 것”이라며 “사이버 공격은 매년 다보스포럼에서 10대 글로벌 리스크에 선정되는 등 사이버 공격 대상에는 안전지대가 없는 만큼, 금융보안원은 국내 금융권이 사이버 공격에 선제적으로 대응할 수 있도록 사이버 위협의 수집·탐지, 분석 및 정보공유를 지속적으로 강화해 나갈 것”이라고 밝혔다.

김선애 기자 다른기사 보기