국내 금융권을 겨냥해 피싱 공격을 수행하는 'TA505' 조직에 관한 보고서가 나왔다.
금융보안원은 'TA505 위협그룹 프로파일링' 보고서를 발간했다. 국내 금융권에 뿌려진 'TA505' 피싱 이메일 약 60만건을 분석해 공격 전략과 기술, 절차, 동향 등을 담았다.
'TA505'는 기업 정보 탈취와 금전을 목적으로 2014년부터 국내 금융권과 에너지 업계를 공격해 왔다. 랜섬웨어, 원격 제어 악성코드 등을 활용하며 러시아 소재 해킹조직으로 추정된다. 지난해 말 국내 금융권에 보안메일을 사칭한 스피어 피싱 이메일을 대량 발송했으며 새로운 랜섬웨어를 유포한 정황도 포착됐다.
주요 공격 특징으로는 대규모 피해가 발생할 수 있는 기업과 단체를 대상으로 스피어 피싱 이메일을 유포한다. AD 서버 해킹, 계정 탈취, 파일 암호화 등을 수행하기 위해 공격 단계별로 원격제어 악성코드, 랜섬웨어 등 다양한 악성코드를 활용한다.
스피어 피싱 이메일은 기관 근무시간에 맞춰 평일 오전 7시부터 9시 사이에 집중 발송한다. 요일로는 목요일(26.1%)과 수요일(24%)에 많이 유포한다. 이와 함께 네이버, 구글, 마이크로소프트를 사칭하는 피싱 페이지를 운영하면서 계정정보 탈취 등 추가 공격을 시도한다.
김영기 금보원 원장은 “'TA505' 분석 결과 공유로 금융권 정보 유출, 파일 암호화 등에 선제 대응할 수 있을 것”이라면서 “사이버 공격 대상에는 안전지대가 없는 만큼 사이버 위협 수집과 탐지, 분석, 정보 공유를 지속 강화해갈 것”이라고 말했다.
오다인기자 ohdain@etnews.com
