[디지털데일리 이종현기자] 금융보안원은 2019년 상반기 국내 금융권 피싱 공격 배후로 추정되는 ‘TA505그룹’의 공격전략, 공격기술, 공격절차 및 최근 동향 등을 수록한 ‘TA505 위협그룹 프로파일링’ 보고서를 발간했다고 30일 밝혔다. 약 60만건에 달하는 TA505그룹 국내 금융권 공격 피싱 메일을 추적·분석했다.
TA505그룹은 2014년부터 기업 정보 탈취 및 금전적 대가를 목적으로 랜섬웨어, 원격 제어 악성코드를 이용해 금융권 및 에너지 관련 업종을 공격하는 공격 그룹이다.
이 그룹은 2019년 상반기부터 국내 금융권을 대상으로 ▲초기 침투 ▲거점 확보 ▲권한 상승 ▲내부 정찰 ▲내부 확산 ▲지속 실행 ▲미션 완료 등의 ‘사이버 공격 라이프 사이클’로 공격을 지속해왔다.
금융보안원 보고서에 따르면 TA505그룹은 ▲대규모 피해가 발생할 수 있는 기업 또는 단체를 겨냥해 스피어 피싱 메일로 악성코드 유포 ▲AD서버 해킹, 계정 탈취 및 파일 암호화 등을 수행할 수 있도록 공격 단계별로 원격제어 악성코드, 랜섬웨어 등 다양한 악성코드 사용 ▲공격대상 기관의 근무 요일, 시간에 맞춰 집중적으로 스피어 피싱 메일 발송 ▲네이버, 구글, 마이크로소프트(MS) 등 사칭 페이지를 운영해 계정정보 탈취 등의 공격 특징을 가지고 있다.
지난해 12월에는 국내 금융권 등에 보안메일 등을 사칭한 대량의 스피어 피싱 메일을 발송해 파일을 암호화하는 새로운 랜섬웨어를 유포하는 등 또다시 TA505그룹의 공격으로 의심되는 공격 정황이 발견됐다.
김영기 금융보안원 원장은 “전형적인 사이버 공격 수단인 악성메일을 이용한 피싱 공격이 점점 지능화·고도화되고 있다”며 “사이버 공격은 다보스포럼에서 10대 글로벌 리스크에 선정되는 등 위험도가 높아지고 있다. 금융보안원은 국내 금융권이 사이버 공격에 선제적으로 대응할 수 있도록 사이버 위협의 수집·탐지, 분석 및 정보공유를 지속적으로 강화해나갈 것”이라고 말했다.
금융보안원은 금융권 최신 사이버 위협 및 공격에 대한 인텔리전스 보고서를 매년 정기적으로 발간할 계획이다.