[디지털데일리 이종현기자] 인텔리전스 기반 보안 솔루션을 제공하는 파이어아이는 금전 목적의 공격 그룹 ‘FIN11’에 관한 내용을 담은 ‘FIN11 리포트’를 공개했다고 15일 밝혔다.
FIN11은 파이어아이가 지난 2014년 인수한 맨디언트의 위협 인텔리전스가 주시한 공격그룹이다. 맨디언트 연구원이 지금까지 목격한 금전 목적의 공격자 중 가장 규모가 크고 지속력이 강한 악성코드를 배포하는 FIN11은 대량의 악성 이메일 공격 캠페인 외에 악성코드 배포 전략 및 기법을 계속해서 진화시켜 나가고 있다.
최근 FIN11의 공격 활동 대부분은 클롭(CLOP) 랜섬웨어를 배포해 피해자 네트워크에 침입해 데이터를 탈취하는 것으로 확인됐다. 포스(POS) 악성코드를 배포했던 예전 방식에 비해 점차 유연하고 진화된 방식으로 접근하고 있다는 것이 파이어아이 측 분석이다.
FIN11은 전 세계 다양한 지역 및 산업의 기업을 공격해왔다. 맨디언트가 한주간 발견한 공격만 하더라도 제약, 해운·물류, 북미·유럽 조직, 독일어·이탈리아어 사용자 등 넓은 범위에 이뤄졌다. 기업뿐만 아니라 학술, 정부, 공공기관까지도 공격 대상으로 삼는다.
최소 2016년부터 활동해온 FIN11은 악성코드를 배포하기 위해 광범위한 피싱 공격을 실시해온 것으로 확인됐다. FIN11은 통상 일주일에 수천통의 이메일을 전송하는 등 다수의 피싱 공격을 실시하며 매달 배포 전략을 변경했다.
파이어아이는 “최근 FIN11은 실질적인 수익을 얻기 위해 복합적인 탈취 공격 수법을 사용한다. 클롭 랜섬웨어를 활용해 데이터를 갈취한 후 피해자에게 이에 대한 대가로 적게는 수십만달러에서 많게는 천만달러까지 요구하며 지불하지 않으면 유출된 데이터를 공개하겠다고 협박한다”고 전했다.