‘TA505’의 2019년 국내 주요 공격 타임라인. /자료=금융보안원지난해부터 국내 금융권을 겨냥해 해킹·악성코드 유포 등 60만건에 달하는 피싱 공격을 펼쳐온 국제 범죄조직에 대한 금융보안원의 보고서가 공개됐다. 보안원은 이번 사이버 공격에 대한 상세 분석을 바탕으로 금융권과 함께 앞으로의 공격에 대응하고 예방책을 공유할 계획이다.
보안원은 국내 금융권 피싱 공격의 배후를 분석한 ‘TA505 위협그룹 프로파일링’ 보고서를 발간했다고 30일 밝혔다. 이 보고서는 TA505가 지난 1년간 국내 금융권을 공격하기 위해 유포한 피싱 메일 약 60만건을 추적해 공격 전략·기술·절차와 최근 동향 등을 분석했다.
러시아 기반 조직으로 추정되는 TA505는 2014년부터 기업 정보 탈취와 금전을 목적으로 금융권과 에너지 업계를 공격해왔다. 우리나라에서는 2018년 하반기에 국내 기업을 대상으로 한 사이버 공격이 발견됐다. 대규모 피해가 발생할 수 있는 기업·단체에 △국세청 전자세금계산서 △대한항공 전자항공권 등을 사칭한 스피어 피싱 메일을 대량 발송해 악성코드, 랜섬웨어 등을 유포하는 방식이다. 네이버·구글 등을 사칭하는 피싱 페이지를 만들어 계정 정보 탈취를 시도하기도 한다.
지난해 12월부터는 다시 국내 금융권을 겨냥한 피싱 메일로 새로운 랜섬웨어를 유포하려 한 정황도 포착됐다. 이 조직의 스피어 피싱 메일은 기관 근무시간에 맞춰 시간대로는 평일 오전 7~9시, 요일로는 수·목요일에 집중적으로 발송됐다.
보안원은 이번 보고서를 토대로 국내 금융권 대상 피싱 공격과 랜섬웨어 등 신종 사이버 공격에 대한 대응 요령을 금융권과 공유할 예정이다. 김영기 금융보안원장은 “악성 메일을 이용한 피싱 공격이 점점 지능화·고도화되는 상황에서 이번 분석 결과로 금융권이 주요 정보 유출, 중요 파일 암호화 등 발생할 수 있는 피해에 선제 대응할 수 있을 것”이라며 “앞으로 사이버 위협을 수집·탐지·분석한 정보 공유를 지속적으로 강화할 것”이라고 말했다.
