“신종 트로이목마 기승”…시만텍, 금융권 보안 강조

가 +
가 -

은행, 증권 등 금융 기업을 노린 사이버 공격이 기승을 부리고 있다. 은행 각 자금 거래에 사용되는 스위프트(SWIFT, 국제은행간통신협회)망까지 공격한 정황이 발견되면서 금융권 사이버 보안에 빨간불이 켜졌다.

글로벌 사이버 보안 기업 시만텍은 최근 전세계 다수의 금융기관을 겨냥한 ‘오디나프 트로이목마'(Trojan.Odinaff) 공격이 이뤄지고 있다며 자사 블로그를 통해 경고했다.

symantec odinaff

‘오디나프’는 지난 1월부터 주로 발견되기 시작한 신종 악성코드다. 주로 전세계 다수 금융기관 인프라에서 활동이 감지됐다. 지금까지 알려진 오디나프 공격 중 34%가 금융 분야에서 일어났다. 주로 금융 소프트웨어 애플리케이션이 실행되는 컴퓨터를 노렸다.

symantec malware finance_2

오디나프는 표적 네트워크에 침입해 해당 네트워크에 머물면서 추가적인 도구를 설치하는 식으로 보안 시스템을 무너뜨린다. 공격이 성공해 시스템을 감염시키고 나면, 감염 사실 자체를 은폐해 위험하다. 오디나프 트로이목마로 공격을 시작한 뒤에는 ‘배틀 백도어'(Backdoor.Batel)라는 두 번째 악성코드를 표적 컴퓨터에서 사용한다. 이 악성코드는 오로지 메모리에서만 실행된다. 그 결과 감염 컴퓨터에 몰래 잠입해 있을 수 있다.

시만텍 측은 “오디나프 공격 그룹이 SWIFT 사용기관을 공격하고 악성코드를 이용해 허위 거래와 관련된 고객의 SWIFT 메시지 기록을 숨긴 증거를 발견해냈다”라며 “이 공격은 고객의 로컬 메시지 로그에서 특정 거래와 관련된 키워드가 있는지 찾아낸 후, 자신들의 행적을 숨기기 위해 고객의 로컬 SWIFT 소프트웨어 환경에서 해당 로그를 이동시킨다. SWIFT 네트워크 자체가 감염되었다는 증거는 남지 않는다”라고 설명했다.

워드 매크로 기능을 이용해 사용자 컴퓨터에 몰래 잠입한 다음 시스템을 감염시킨다.

워드 매크로 기능을 이용해 사용자 컴퓨터에 몰래 잠입한 다음 시스템을 감염시킨다.

시만텍 조사에 따르면, 오디나프 공격자들은 네트워크를 돌아다니며 중요 컴퓨터를 확인하기 위해 다양한 해킹 도구와 적법한 소프트웨어 솔루션을 폭넓게 이용한다. 공격자는 오디나프를 표적 네트워크에 침입하기 위해 악성 매크로가 포함된 허위 문서를 주로 이용한다. 문서를 받은 사람이 매크로를 실행하면, 컴퓨터에 오디나프 트로이목마가 설치되는 식이다. 그 외에도 패스워드로 보호된 RAR 압축 파일을 사용해 컴퓨터에 오디나프를 설치하도록 유도한다.

시만텍 측은 “스피어 피싱 이메일을 통한 유포 가능성이 높은 것으로 생각된다”라며 “또한, 안드로메다(Downloader.Dromedan)나 스니풀라(Trojan.Snifula)와 같은 다른 악성코드에 이미 감염된 봇넷을 통해 전파된 것으로 파악됐다”라고 설명했다.

symantec malware finance_1

오디나프 공격 대상을 지역별로 보면, 미국(25%)이 가장 많은 공격을 받았고, 이어서 홍콩(20%), 호주(19%), 영국(12%), 우크라이나(8%) 순으로 뒤를 이었다. 한국에서 발견된 사례는 아직 없지만, 안심하긴 이르다.

윤광택 시만텍코리아 상무는 “이번 조사 결과는 금전적 이득을 위해 금융권을 겨냥한 사이버 공격 위협이 계속 증가하고 있으며, 사이버 범죄자들이 이제 금융권에서 사용하는 시스템에 대해 상당히 높은 수준의 이해도와 전문적인 기술지식을 가지고 있음을 보여주는 사례”라며 “이들의 표적이 되는 조직들은 심각한 위협에 빠질 수 있으므로 국내 금융 기관 및 기업들도 철저한 보안을 위해 적극적으로 대비해야 한다”라고 당부했다.