피싱 꼼짝마…금융보안원, TA505 위협그룹 프로파일링 보고서 발간

[한국금융신문 정선은 기자] 금융보안원이 TA505(Threat Actor 505) 그룹의 공격전략, 공격기술, 공격절차와 최근 동향 등을 수록한 'TA505 위협그룹 프로파일링' 보고서를 발간했다.

금융보안원은 2019년 상반기에 국내 금융권 피싱 공격 배후로 TA505그룹을 인지, 그간 약 60만건에 달하는 TA505그룹의 국내 금융권 공격 피싱 메일을 추적∙분석해 보고서를 발간했다고 30일 밝혔다.

TA505그룹은 2014년부터 기업 정보 탈취 및 금전적 대가를 목적으로 랜섬웨어, 원격 제어 악성코드를 이용하여 주로 금융권 및 에너지 관련 업종을 공격하는 러시아 추정 공격 그룹이다.

보고서에 따르면, TA505그룹은 대규모 피해가 발생할 수 있는 기업 또는 단체를 공격대상으로 악의적인 목적을 가지고 특정 개인 또는 회사를 대상으로 발송하는 스피어 피싱 메일(spear phishing mail)을 이용해 악성코드를 유포하는 공격을 하고 있다.

AD(Active Directory)서버 해킹, 계정 탈취 및 파일 암호화 등을 수행할 수 있도록 공격단계 별로 원격제어 악성코드, 랜섬웨어 등 다양한 악성코드를 사용한다.

스피어 피싱 메일은 공격대상 기관의 근무에 맞추어 일주일 중 목요일(26.1%)과 수요일(24%)에, 그리고 통상적인 출근 시간인 평일 오전 7시부터 9시 사이에 집중적으로 발송됐다.

유명 포털 사이트인 네이버, 구글, 마이크로소프트 등을 사칭하는 피싱 페이지를 운영해 계정정보 탈취 등 추가적인 공격을 시도했다.

지난해 12월부터 또다시 국내 금융권 등에 보안메일 등을 사칭한 대량의 스피어 피싱 메일을 발송해 파일을 암호화하는 새로운 랜섬웨어 유포 정황이 발견됐다.

금융보안원은 TA505 위협 그룹 프로파일링 보고서를 토대로 국내 금융권대상 피싱 공격, 랜섬웨어 등 신종 사이버 공격에 대한 대응 요령을 금융권과 지속적으로 공유할 예정이다.

김영기닫기김영기기사 모아보기 금융보안원장은 “전형적인 사이버공격 수단인 악성 메일을 이용한 피싱 공격이 점점 지능화∙고도화되어 가는 상황에서 국내 금융권 피싱 공격 배후인 TA505그룹을 추적∙분석한 결과를 금융권과 공유함으로써 금융권이 주요 정보 유출, 중요 파일 암호화 등 발생 가능한 피해에 선제적으로 대응할 수 있을 것”이라고 기대했다.

정선은 기자 bravebambi@fntimes.com