침해사고/위협동향

금융기관 표적 공격…‘사일런스’ 트로이목마 주의

최민지

[디지털데일리 최민지기자] 카스퍼스키랩은 지난 9월부터 러시아, 아르베니아, 말레이시아를 포함한 10개 이상의 금융기관에 새로운 형태의 표적 공격이 연이어 발생했다고 14일 밝혔다.

이 공격은 신생 해킹 그룹인 사일런스(Silence)의 소행으로 알려졌다. 이들은 내부 뱅킹 네트워크에 대해 장기간 지속적인 액세스를 확보한 후 해당 네트워크의 일일 활동을 모니터링하고 개별 뱅킹 네트워크의 상세 정보를 확인한 후 적당한 시기에 돈을 최대한 빼낸다.

사일런스 트로이목마도 이 방법을 사용하고 있으며, 스피어피싱 이메일을 활용해 피해 기관의 인프라를 감염시킨다.

메일에 첨부된 악성파일을 열면 한 번의 클릭만으로도 다운로드가 연이어 실행되고 결국에는 드롭퍼 악성코드가 실행된다. 이 드롭퍼가 명령제어(C&C) 서버와 연결한 후 감염된 기기의 ID를 전송하고 추가 악성코드를 다운로드한 후 실행해 블루 스크린, 데이터 업로드, 자격 증명 정보 절도, 원격 제어 등의 문제를 일으킨다.

실제 기관 종사자의 주소를 사용해 피해자에게 계좌 개설 요청 이메일을 보내는 식으로 이미 감염된 금융 기관 인프라를 새로운 공격에 악용한다. 이 속임수 때문에 메일 수신자는 감염 매개를 전혀 인지하지 못하게 된다.

네트워크에 대한 장기간 액세스를 확보한 후에는 네트워크 조사에 착수한다. 사일런스 그룹은 피해자의 컴퓨터 화면을 여러 스크린샷으로 기록하고 피해자의 활동을 실시간 동영상으로 스트리밍하는 등 일거수일투족을 모니터링할 수 있다.

카스퍼스키랩의 보안 연구진은 사일런스 공격의 구성 요소를 연구하면서 발견한 언어적 증거를 토대로 범죄자들이 러시아어를 사용한다는 사실을 밝혀냈다.

이창훈 카스퍼스키랩코리아 지사장은 “사일런스 트로이목마는 사이버 범죄자들이 일반 사용자가 아닌 은행을 직접 노리는 쪽으로 점차 돌아서고 있음을 보여주는 증거”라며 “교묘하고 전문적인 지능형지속위협(APT) 방식의 사이버 절도 범죄가 성행하면서 최근 이 추세는 갈수록 뚜렷해지고 있다”고 말했다.

이어 “가장 골치 아픈 점은 이들이 은밀히 활동하기 때문에 각 은행의 보안 대책의 수준과 관계없이 성공을 거둘 수도 있다는 것”이라고 덧붙였다.

<최민지 기자>cmj@ddaily.co.kr

최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널