‘TA505 위협그룹 프로파일링’ 보고서 발간

▲ TA505 위협 그룹의 2019년 공격 타임라인

[아이티데일리] 금융보안원(원장 김영기)은 지난해 상반기에 국내 금융권 피싱 공격 배후로 ‘TA505그룹’을 인지, 그간 약 60만 건에 달하는 TA505그룹의 국내 금융권 공격 피싱 메일을 추적·분석해 ‘TA505그룹’의 공격전략, 공격기술, 공격절차 및 최근 동향 등을 수록한 ‘TA505 위협그룹 프로파일링’ 보고서를 발간했다고 30일 밝혔다.

TA505(Threat Actor 505)그룹은 2014년부터 기업 정보 탈취 및 금전적 대가를 목적으로 랜섬웨어, 원격 제어 악성코드를 이용해 주로 금융권 및 에너지 관련 업종을 공격하는 그룹으로, 러시아에서 활동하는 것으로 추정된다.

보고서에 따르면, TA505그룹의 공격은 ▲대규모 피해가 발생할 수 있는 기업 또는 단체를 공격 대상으로 스피어 피싱 메일을 이용해 악성코드를 유포 ▲AD(Active Directory)서버 해킹, 계정 탈취 및 파일 암호화 등을 수행할 수 있도록 공격단계별로 원격제어 악성코드, 랜섬웨어 등 다양한 악성코드 사용 등이 특징인 것으로 나타났다.

스피어 피싱 메일은 공격대상 기관의 근무에 맞춰 일주일 중 목요일(26.1%)과 수요일(24%)에, 통상적인 출근 시간인 평일 오전 7시부터 9시 사이에 집중적으로 발송된 것으로 분석됐다. 유명 포털 사이트인 네이버, 구글, MS 등을 사칭하는 피싱 페이지를 운영해 계정정보 탈취 등 추가적인 공격 시도도 발견됐다.

2019년 12월부터는 또 다시 국내 금융권 등에 보안메일 등을 사칭한 대량의 스피어 피싱 메일을 발송, 파일을 암호화하는 새로운 랜섬웨어 유포 정황이 발견됐다.

김영기 금융보안원장은 “전형적인 사이버공격 수단인 악성 메일을 이용한 피싱 공격이 점점 지능화·고도화돼 가는 상황에서 국내 금융권 피싱 공격 배후인 TA505그룹을 추적·분석한 결과를 금융권과 공유함으로써 금융권이 주요 정보 유출, 중요 파일 암호화 등 발생 가능한 피해에 선제적으로 대응할 수 있을 것”이라면서, “사이버공격은 매년 다보스포럼에서 10대 글로벌 리스크에 선정되는 등 사이버 공격 대상에는 안전지대가 없는 만큼, 금융보안원은 국내 금융권이 사이버 공격에 선제적으로 대응할 수 있도록 사이버 위협의 수집·탐지, 분석 및 정보공유를 지속적으로 강화해 나갈 것”이라고 말했다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지