“금융기관 노리는 신종 해킹그룹 ‘사일런스’, 부상”
상태바
“금융기관 노리는 신종 해킹그룹 ‘사일런스’, 부상”
  • 김선애 기자
  • 승인 2017.11.14 11:58
  • 댓글 0
이 기사를 공유합니다

카스퍼스키랩 “러시아어 사용하는 공격그룹, 전 세계 금융기관 노려…트로이목마 이용해 뱅킹 시스템 침투”

전 세계 은행 ATM 기기를 통해 1조원을 탈취한 악명 높은 해킹그룹 카바낙(Carbanak)을 모방한 신생 해킹그룹 사일런스(Silence)가 러시아, 아르메니아, 말레이시아 등의 금융기관을 공격하고 있는 정황이 발견됐다. 이 공격조직은 러시아어를 사용하는 것으로 알려지고 있다.

카스퍼스키랩은 14일 금융기관을 노리는 사일런스 트로이목마에 대한 분석 보고서를 발표하며, 10개 이상 금융기관에 새로운 형태의 표적공격이 연이어 발생했으며, 카바낙과 유사한 기술을 활용해 피해자로부터 돈을 훔치고 있으며 공격은 지금도 계속 이어지고 있다고 밝혔다.

금융기관을 노리는 공격그룹은 장기간 지속적으로 은행 내부 뱅킹 네트워크에 접속을 시도한다. 접근 권한을 확보한 후 해당 네트워크의 일일 활동을 모니터링하고 개별 뱅킹 네트워크의 상세 정보를 확인한 다음, 적당한 시기에 그 동안 모은 지식을 활용해 돈을 최대한 빼낸다.

▲이미지 출처: www.kaspersky.com/blog/silence-financial-apt/19993

사일런스 역시 같은 공격 기법을 사용하는데, 스피어피싱 이메일로 피해 기관의 인프라를 감염시킨다. 메일에 첨부된 악성 파일은 피해자가 파일을 열면 한 번의 클릭만으로도 다운로드가 연이어 실행되고 결국에는 드롭퍼 악성 코드가 실행된다.

이 드롭퍼가 C&C 서버와 연결한 후 감염된 기기의 ID를 전송하고 추가 악성 코드를 다운로드한 후 실행하여 블루 스크린, 데이터 업로드, 자격 증명 정보 절도, 원격 제어 등의 문제를 일으킨다.

실제 기관 종사자의 주소를 사용해 피해자에게 계좌 개설 요청 이메일을 보내는 식으로 이미 감염된 금융 기관 인프라를 새로운 공격에 악용한다. 이 속임수 때문에 메일 수신자는 감염 매개를 전혀 인지하지 못하게 된다.

네트워크에 대한 장기간 액세스를 확보한 후에는 네트워크 조사에 착수한다. 사일런스 그룹은 피해자의 컴퓨터 화면을 여러 스크린샷으로 기록하고 피해자의 활동을 실시간 동영상으로 스트리밍하는 등 일거수일투족을 모니터링할 수 있다. 이를 통해 피해자의 일상 활동을 파악하고 절도를 위한 정보를 충분히 확보한다.

카스퍼스키랩의 보안 연구진은 사일런스 공격그룹은 러시아어를 사용한다는 사실을 밝혀냈다.

이창훈 카스퍼스키랩코리아 지사장은 “사일런스 트로이목마는 사이버 범죄자들이 일반 사용자가 아닌 은행을 직접 노리는 쪽으로 점차 돌아서고 있음을 보여주는 증거다. 더욱 교묘하고 전문적인 APT 방식의 사이버 절도 범죄가 성행하면서 최근 이 추세는 갈수록 뚜렷해지고 있다. 가장 골치 아픈 점은 이들이 은밀히 활동하기 때문에 각 은행의 보안 대책의 수준과 관계없이 성공을 거둘 수도 있다는 것”이라고 말했다.

한편 카스퍼스키랩은 ‘카스퍼스키 안티 ATP’와 같은 APT 방어 솔루션을 사용하며, 시스템 구성이나 애플리케이션의 오류 등 보안 허점을 제거하며, 침투테스트, 애플리케이션 보안 자산 관리 등의 솔루션을 사용해 취약점을 해결해야 한다고 설명했다.

더불어 엄격한 이메일 처리 정책을 세우고 피싱, 악성 첨부 파일과 스팸 처리에 특화된 보안 솔루션을 활성화한다. 이메일 보안 솔루션과 엔드포인트 시큐리티를 사용하는 것도 필요하다고 강조했다. 


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.