글로벌 사이버 범죄그룹 'TA505'조직이 상반기 국내 제조업과 중소기업 등 기업 타깃 공격을 벌인데 이어 최근 활동 반경을 일반 사용자로 확대했다. 과거 유럽, 북미 등 중심으로 활동했던 범죄그룹은 동아시아까지 활동 범위를 넓히고 공격 방식까지 교묘해지는 등 하반기 관련 공격이 더 거세질 것이라는 전망이 나온다.
NSHC에 따르면 러시아에 기반을 둔 사이버 범죄그룹 TA505(SectorJ04)가 최근 활동 범위를 넓힌 것으로 나타났다. 올해 상반기 금융권을 중심으로 한 표적 공격에서 최근 산업 범위를 확대해 불특정 다수를 대상으로 공격활동을 벌인다.
초기 스피어피싱 메일은 본문이 없거나 짧은 문장만 포함하는 정도로 공격 난도가 높지 않았다. 최근 공격 이메일은 이미지, 유창한 한국어 등을 포함, 정교하게 작성되고 있으며 이전에 사용하지 않았던 백도어 악성코드까지 발견됐다.
장영준 NSHC 수석 연구원은 “금융 기업 등 조직원을 대상으로 했다면 최근 일반 기업 조직원으로 확장됐다”면서 “과거와 달리 감염 PC에 저장된 이메일 주소를 수집하는 악성코드가 포함되어 있다”고 설명했다.
TA505는 상반기 클롭(Clop)랜섬웨어 유포 국내 기업에 상당한 피해를 입혔다. 2월 한국 특정 기업 임직원을 대상으로 스피어 피싱 이메일을 활용해 기업 내부망을 해킹 했다. 이들은 최종적으로 AD서버를 해킹해 기업 내부 네트워크 전체를 장악했다. 클롭 랜섬웨어를 AD서버에서 유포, 네트워크와 연결된 수많은 PC가 감염됐다.
5월에는 국세청에서 보낸 것으로 위장한 스팸 이메일을 활용해 대규모 유포 형태 변경을 꽤했다. 7월 말에는 한국 교육, 구인·구직, 부동산, 반도체 등 기업과 대학 등을 대상으로 정교한 스피어피싱 공격을 감행했다. 한국 대형 항공사에서 발송한 것과 같이 위장한 스팸 이메일로 'ISO'형식 파일을 첨부했다. MS워드 파일을 '주문 확인서' '물품 인수증'으로 위장하는 등 공격은 꾸준히 발견된다.
TA505 공격방식은 주로 스피어 피싱 이메일을 사용해 악성 엑셀, 워드 파일을 유포한다. 이후 공격방식은 다양해진다. △인코딩 된 실행 파일 설치 △윈도 설치 시스템중 하나인 NSIS 스크립토 활용 해킹 △실행 압축 파일을 활용한 해킹까지 다양하다. 특히 최근 발견 공격에서는 감염 PC가 AD에 포함된 PC인지 확인하기 위한 파워쉘 스크립트가 발견되기도 했다. AD서버를 장악하기 위한 작업으로 풀이된다.
향후 공격은 더 거세질 것이라는 전망이다. 활동범위가 기존 유럽과 북미지역에서 동아시아 지역으로 확장한데 이어 최근 다시 북미 등지로 재확장 추세다. 공격 방식도 지속 변경하는 등 공격에 다양한 투자를 한 만큼 이에 대한 이익을 얻기 위한 시도는 계속 될 것이라고 지적했다.
장 연구원은 “기존 공격 영역에서 새로운 국가로 타깃을 이동했을 뿐 아니라 최근 발견되는 공격은 이전보다 정교해지고 있다”면서 “하반기 스피어피싱 중심으로 한 공격 등으로 피해가 더 확대될 것으로 예상되는 만큼 상당한 주의가 요구된다”고 덧붙였다.
정영일기자 jung01@etnews.com