금융권 호시탐탐 노리는 해외 해킹그룹…‘스피어 피싱 메일’ 주의보

국내 금융권이 해외 해킹그룹에 의한 지속적인 사이버 공격 위협에 몸살을 앓고 있다. ⓒ픽사베이

국내 금융권이 해외 해킹그룹에 의한 지속적인 사이버 공격 위협에 몸살을 앓고 있다. 금융회사 관리자가 무심결에 열어본 메일 한통으로 주요 정보 유출은 물론 자칫 금융권 시스템 전반까지도 마비시킬 수 있는 만큼 피해 발생 전 각별한 주의가 필요한 시점이다.

2일 금융보안원은 2019년 상반기 국내 금융권 피싱 공격 배후로 지목되고 있는 TA505그룹에 대한 국내 금융권 공격 피싱 메일을 추적 및 분석한 결과를 바탕으로 이들의 공격수법과 동향을 담은 보고서를 발표했다. TA505그룹은 정보 탈취나 금전을 목적으로 금융권 등을 공격하는 러시아 해킹조직이다.

보고서에 따르면 해당 그룹은 대규모 피해가 발생할 수 있는 기업이나 단체 내부자를 대상으로 스피어 피싱 메일을 발송해 악성코드를 유포하고 있는 것으로 나타났다. 스피어 피싱 메일(spear phishing mail)이란 악의적인 목적을 가지고 특정 개인이나 회사를 대상으로 발생하는 피싱형 이메일을 의미한다. 과거 가상화폐 거래소 직원 등을 표적으로 한 스피어피싱 공격이 발생하기도 했다.

공격방식은 크게 5가지 순서로 진행된다. 우선 피싱 메일에 첨부된 악성파일이 실행돼 처음 감염되면 원격제어 악성코드를 통한 피해자 컴퓨터 정보를 탈취한다. 탈취한 정보는 또다시 추가 악성코드 감염의 수단으로 이용되며, 이를 통해 금융회사 내부망을 탐색하거나 서버 관리자 권한을 획득하는 등 내부망 제어 권한을 가지며, 해당 권한으로 기업 내부망 컴퓨터에 대규모 랜섬웨어를 감염시키는 수법이다.

특히 초기 공격방식인 스피어 피싱 메일의 경우 공격대상 기관의 근무일에 맞춰 일주일 가운데서도 평일인 목요일(26.1%)과 수요일(24%), 평일 오전 7시부터 9시 사이에 집중적으로 발송된 것으로 분석됐다. 메일 역시 무심코 열어볼 수 있는 내용으로 발송된다. 또 유명 포털 사이트인 네이버와 구글 등을 사칭하는 피싱 페이지를 운영해 계정정보를 탈취하는 공격 시도를 한 것으로 나타났다.

지난해 12월부터는 해당 그룹이 국내 금융권 등에 보안메일 등을 사칭한 대량의 스피어 피싱 메일을 발송해 파일을 암호화하는 등 새로운 랜섬웨어를 유포한 정황도 포착됐다는 것이 보안원 측 설명이다. 이에 보안원 측은 해당 보고서를 토대로 국내 금융권 대상 피싱 공격과 랜섬웨어 등 신종 사이버 공격에 대한 대응 요령을 지속적으로 공유한다는 계획이다.

김영기 금융보안원장은 “사이버공격은 매년 다보스포럼에서 10대 글로벌 리스크에 선정되는 등 사이버 공격 대상에는 안전지대가 없다”면서 “국내 금융권이 사이버 공격에 선제적으로 대응할 수 있도록 사이버 위협의 수집·탐지, 분석 및 정보공유를 지속적으로 강화해 나갈 것”이라고 밝혔다.