러시아 해킹 조직, 국내 금융권에 신종 랜섬웨어 대량 유포


지난해 12월 스피어 피싱 메일 포착…금보원 분석 보고서

[아이뉴스24 김국배 기자] 러시아 해킹 조직으로 추정되는 TA505그룹이 지난해 12월부터 국내 금융권을 상대로 '스피어 피싱' 메일을 통해 새로운 랜섬웨어를 유포한 정황이 포착됐다.

30일 금융보안원이 발간한 'TA505 위협그룹 프로파일' 보고서에 따르면 이 조직은 2014년부터 기업정보 탈취, 금전적 대가 등을 목적으로 금융권과 에너지 업종을 공격해왔다.

액티브 디렉토리(AD)서버 해킹, 계정 탈취, 파일 암호화 등을 수행할 수 있도록 공격 단계별로 원격제어 악성코드, 랜섬웨어 등 다양한 악성코드를 사용하는 것이 특징이다.

TA505 위협 그룹의 2019년 공격 타임라인 [자료=금융보안원]

또한 일주일 중 목요일(26.1%)과 수요일(24%), 통상적인 출근 시간인 평일 오전 7시부터 9시 사이에 스피어 피싱 메일을 집중적으로 발송했다. 네이버, 구글, 마이크로소프트 등을 사칭한 피싱 페이지를 운영하며 계정정보 탈취 등 추가적인 공격을 시도하기도 했다.

지난해 12월부터는 또 다시 국내 금융권에 보안 메일 등을 사칭한 대량의 스피어 피싱 메일을 발송한 것으로 파악된다. 파일을 암호화하는 신종 랜섬웨어를 유포했다.

김영기 금보원 원장은 "사이버 공격은 매년 다보스포럼에서 10대 글로벌 리스크에 선정되는 등 사이버 공격 대상에는 안전지대가 없다"며 "금보원은 국내 금융권이 사이버 공격에 선제적으로 대응할 수 있도록 사이버 위협의 수집·탐지, 분석 및 정보공유를 지속적으로 강화해 나갈 것"이라고 했다.

김국배 기자 vermeer@inews24.com







포토뉴스