KISTI의 과학향기

최근 보안솔루션 제공업체인 Cofense社는 금융권의 사이버 보안시스템을 위협하려는 목적의 피싱공격 형태의 이메일을 발송하는데 새로운 봇넷이 활용되었다는 점을 언급하여 은행들의 사이버보안 시스템에 대한 새로운 경고가 요구되어 관련 내용을 살펴보기로 한다.

 

이번에 발견된 피싱 공격은 지난 8월 15일부터 개시되어 약 2천 7백여 은행도메인을 대상으로 사이버공격이 시작되었으나 불과 수 시간 내 갑작스러운 공격 중단현상이 발견되었다고 한다. 이 공격에 사용된 봇넷 'Necurs'는 감염된 PC나 디지털기기를 상호 연결해 탄력적인 봇넷 네트워크를 만들 수 있는 루트킷 말웨어로 알려지고 있으며, 해당 봇넷을 사용해 기타 말웨어를 유포하거나 다른 종류의 사이버공격을 이행할 수 있다.

 

지난 2012년 이래로 지속적인 스팸 형태의 이메일에 기반을 둔 사이버공격이 지속적인 변화를 거쳐 2016년 맹위를 떨친 Locky and Dridex 랜섬웨어의 변종을 배포하는데 사용되었던 사례를 감안해볼 때, 주기적인 업데이트를 통해 그 공격방식과 유포형태를 변화시켜나가고 있다 볼 수 있다.

 

뿐만 아니라 Computing社의 연구결과에 의하면, Nexurs 악성코드에 감염된 디지털기기의 데이터를 새로운 방식으로 수집하도록 프로그램이 변형된 것으로 나타났는데, 최근에 발생한 피싱공격을 살펴보면 피싱을 목적으로 삼은 이메일이 .pub 확장자를 지닌 첨부파일(Microsoft社의 퍼블리셔 프로그램에서 열람 가능) 및 PDF파일을 보유하여 은행권 직원들에게 전송된 것으로 조사되었다고 한다. 이는 워드나 엑셀과 마찬가지로 퍼블리셔 프로그램 또한 매크로를 내장할 수 있기에 악성코드를 방어하는 프로그램에 내성이 생기게 될 경우, 이에 Necurs 봇넷이 반응하여 우회할 수 있는 공격루트를 찾아내는 형태를 띄고 있다.

 

이처럼 감염된 파일을 클릭하여 열었을 경우, 원격서버에서 피해자의 디지털기기로 말웨어가 다운로드되는 과정을 통해 궁극적으로 원격접근이 가능한 트로이목마 형태의 FlawedAmmyy 바이러스가 설치되는 것으로 나타났다고 한다. 이 바이러스 도구를 통해 공격자들은 온전히 감염된 디지털기기에 대한 원격제어가 가능해지고 해당 기기가 설치된 모든 기업 및 조직 내부로 이동하기 위한 교량 역할을 한다 보면 되겠다.

 

현재까지 상기 공격이 왜 짧은 시간 내 중단되었는지 여부는 밝혀지지 않고 있으나 금융권을 대상으로 삼은 다양한 피싱공격과 해킹이 발생하고 있는 바, 이러한 공격에 효과적으로 대비할 수 있도록 금융권 내부에서는 탄력적인 내부 보안솔루션과 대응책을 조속히 마련해야 할 시기가 도래한 것으로 보인다.