즐겨찾기+

최종편집:2024-04-23 오전 09:53:37

기사쓰기

전체기사보기

부산시, 위기청소년 종합 지.. 접근성 좋은 공영주차장, 전.. 부산시립미술관, 《한국현대.. 부산시립박물관, 비대면 문..

사회복지

뉴스

포토영상

지역사회네트워크

문화·동정

제보

동행신문고

최신기사

정치

사회

경제

문화

세계

IT/과학

칼럼

뉴스 > IT/과학

시만텍, 금융 관련 신종 트로이목마 확산 경고

SWIFT(국제은행간통신협회) 사용기관 공격한 정황 발견돼
악명 높은 금융 해커 집단 ‘카바낙’과 연관 가능성… 금융기관 주의해야
사회복지동행 기자 / dhc3255@naver.com

입력 : 2016년 10월 14일

↑↑ 오디나프 공격 표적의 약 60%는 비즈니스 분야가 확인되지 않았다. 하지만 공격 표적의 비즈니스 유형을 알 수 있는 경우들을 보면 금융업이 가장 큰 타격을 입었다 (사진제공: 시만텍코리아)

2016년 10월 14일 -- 글로벌 사이버 보안 선도기업 시만텍이 최근 전세계 다수의 금융기관을 겨냥한 신종 악성코드 ‘오디나프 트로이목마(Trojan.Odinaff)’의 공격이 지속되고 있다며 경고했다. 은행, 증권, 트레이딩 분야의 금융권 기관 및 기업들은 사이버 보안에 각별한 주의가 필요하다.
시만텍 조사 결과에 따르면 ‘오디나프’는 올 1월부터 탐지되기 시작했으며 이와 관련된 은밀한 공격이 전세계 다수의 금융 기관을 대상으로 계속되고 있다. 오디나프는 보통 공격 초기 단계에서 표적 네트워크에 침입하기 위한 수단으로 사용되며 네트워크에 머물면서 추가적인 툴을 설치할 수 있는 기능을 제공한다. 이 추가적인 툴을 살펴보면 수 년 전부터 금융권을 공격해온 악명 높은 해커 집단인 카바낙(Carbanak)의 정교한 공격 수법과 유사한 것으로 보인다. 공격 수법이 유사한 것 외에도 카바낙 그룹의 공격 캠페인에서 사용된 일부 인프라를 사용하는 등 다수의 연계 가능성이 발견됐다.
오디나프 공격 대상을 지역별로 보면 미국(25%)이 가장 많은 공격을 받았고 이어서 홍콩(20%), 호주(19%), 영국(12%), 우크라이나(8%) 순이다. 오디나프 공격의 표적은 비즈니스 유형이 알려진 공격의 경우, 금융업이 전체 공격의 34%를 차지하며 가장 큰 타격을 입었다. 오디나프 공격의 약 60%는 공격 받은 기관의 비즈니스 유형이 확인되지 않았지만, 대다수 금융 소프트웨어 애플리케이션이 실행되는 컴퓨터를 겨냥한 점을 봤을 때, 금전적 이득을 노렸을 것으로 추정된다.
공격자들이 표적 네트워크에 침입하기 위해 가장 많이 사용한 공격 방식은 악성 매크로가 포함된 허위 문서를 이용하는 것이다. 문서를 받은 사람이 매크로를 실행하면 컴퓨터에 오디나프 트로이목마가 설치된다. 또 다른 방식은 패스워드로 보호된 RAR 압축파일을 사용해 컴퓨터에 오디나프를 설치하도록 만드는 것인데, 이는 스피어 피싱 이메일을 통한 유포 가능성이 높은 것으로 생각된다. 또한 안드로메다(Downloader.Dromedan)나 스니풀라(Trojan.Snifula)와 같은 다른 악성코드에 이미 감염된 봇넷을 통해 전파된 것으로 파악됐다.
오디나프 트로이목마로 공격을 시작한 뒤에는 다른 툴을 이용해 공격을 완료한다. 배틀 백도어(Backdoor.Batel)라는 두 번째 악성코드를 표적 컴퓨터에서 사용하는데, 이 악성코드는 오로지 메모리에서만 실행이 가능해 감염 컴퓨터에 몰래 잠입해 있을 수 있다. 오디나프 공격자들은 네트워크를 돌아다니며 중요 컴퓨터를 확인하기 위해 다양한 해킹 툴과 적법한 소프트웨어 툴을 폭넓게 이용하는 것으로 드러났다.
시만텍은 특히 오디나프 공격 그룹이 국가 간 자금거래를 위해 설립된 국제은행간통신협회(이하 SWIFT) 사용기관을 공격하고 악성코드를 이용해 허위 거래와 관련된 고객의 SWIFT 메시지 기록을 숨긴 증거를 발견해냈다. 이 공격은 고객의 로컬 메시지 로그에서 특정 거래와 관련된 키워드가 있는지 찾아낸 후 자신들의 행적을 숨기기 위해 고객의 로컬 SWIFT 소프트웨어 환경에서 해당 로그를 이동시킨다. SWIFT 네트워크 자체가 감염되었다는 증거는 남지 않는다.
오디나프 공격에서 주목할 점은 이 공격이 2014년 말 알려진 카바낙 그룹과 일부 비슷한 부분이 있다는 점이다. 카바낙 역시 금융 기관을 겨냥한 정교한 공격을 전문으로 하고 PoS(Point of Sale) 침입 외에 은행을 겨냥한 여러 공격에 연루된 해커 집단이다. 오디나프 공격에 사용된 3개의 C&C IP 주소가 이전 카바낙 공격과 관련된 것이라는 점, 배틀 백도어(Backdoor.Batel)는 카바낙이 연관된 다수 사건과 관련 있다는 점 등이 카바낙과 오디나프 공격 간에 유사성이 있음을 보여준다. 오디나프가 더 큰 조직의 일부일 수 있지만 인프라 교차사용이 매우 이례적이라는 점을 고려하면, 오디나프가 카바낙과 유사한 그룹이나 협력 조직일 수 있다는 뜻이다.
오디나프와 같이 금융권을 겨냥한 공격은 실행하기는 어렵지만, 성공하면 얻게 되는 금전적 이득이 크다. 카바낙과 연관된 공격 손실액만 하더라도 수천만 달러에서 수 억 달러에 이를 것으로 추정되고 있다.
윤광택 시만텍코리아 상무는 “이번 조사 결과는 금전적 이득을 위해 금융권을 겨냥한 사이버공격 위협이 계속 증가하고 있으며, 사이버범죄자들이 이제 금융권에서 사용하는 시스템에 대해 상당히 높은 수준의 이해도와 전문적인 기술지식을 가지고 있음을 보여주는 사례”라며 “이들의 표적이 되는 조직들은 심각한 위협에 빠질 수 있기 때문에 국내 금융 기관 및 기업들도 철저한 보안을 위해 적극적으로 대비해야 한다”고 말했다.
한편 시만텍은 시만텍 및 노턴 보안 솔루션을 통해 오디나프와 관련된 악성코드(Trojan.Odinaff , Trojan.Odinaff!g1, Backdoor.Batel 등)를 탐지한다. 더 자세한 내용은 시만텍 블로그를 통해 확인할 수 있다.

시만텍 블로그: http://https://www.symantec.com/connect/blog/od...

출처: 시만텍코리아

웹사이트: http://www.symantec.co.kr

사회복지동행 기자 / dhc3255@naver.com

입력 : 2016년 10월 14일

포토&동영상

가장 많이 본 뉴스

[남구장애인복지관] 배우 김정현 팬카페 PRIMAVERA 『김정현 생일 축하 기념 특식 제공』

[남구장애인복지관] ‘제 44회 장애인의 날’ 맞아 지역사회 행사 개최

[남구장애인복지관]아바니센트럴부산호텔, 제44회 장애인의 날 맞아 남구지역 장애인 대상 중식제공

지역행사

외국인도 반한 맥염 소금

2019년 사회적경제 한마당 행사가 2019년 10월 19일 광복로 일대에서 진행되었다..

암각화박물관, 숲속의 박물관학교 ‘..

울산 암각화박물관은 암각화박물관에서 숲속의 박물관 학교 ‘반구대 조사단’ 프로그램 참가자를 모집한다.이번 프로그램은 암각화 ..

금련산청소년수련원, 2019년 공개 관..

부산시(시장 오거돈) 금련산청소년수련원은 수련원 내 천문대 일원에서 천체망원..

지역탐방

[남구장애인복지관] 경남리더스클럽(G..

▶ 남구장애인복지관(관장 유경상)에서는 2030 자영업대표자 모임인 ..

[북구지역자활센터] 2022년 한국자활..

▶ 2022년 11월 14일 한국자활복지개발원에서 진행하는 청년자립도 우..

6개 구 공모 선정… 부산시, 고독사 ..

부산시(시장 박형준)가 고독사 위험자를 조기 발견하고, 상담·치료 및 서비스 연계 등을 통해 고독사를 예방하는 시범사업..

인사말

광고문의

제휴문의

기사제보

개인정보취급방침

윤리강령

고충처리인제도

찾아오시는 길

청소년보호정책

상호: 동행신문 / 주소: 부산 금정구 구서온천천로 63 아름베스트빌 201호 / 발행인: 정은호 / 편집인 : 배한성 / 청소년보호책임자 : 정은호
mail: dhc5173@naver.com / Tel: 051-582-3253 / Fax : 051-582-3253 / 정기간행물 등록번호 : 부산, 아00251 / 등록일 : 2015년 11월 02일
본지는 신문 윤리강령 및 그 실천요강을 준수함