시만텍, 금융 관련 신종 트로이목마 경고... SWIFT 사용기관 공격 정황 발견

세계 다수 금융기관을 겨냥한 신종 악성코드 `오디나프 트로이목마` 공격이 지속된다. 국제은행간통신협회(SWIFT) 사용기관을 공격한 정황도 발견됐다. 은행과 증권, 트레이딩 분야 등 금융권 기관, 기업은 사이버 보안에 주의가 요망된다.

지역별 오디나프 공격 분포(자료:시만텍)
지역별 오디나프 공격 분포(자료:시만텍)

시만텍(한국 지사장 박희범)은 올해 1월부터 탐지되기 시작한 오디나프가 세계 금융기관을 대상으로 은밀한 공격을 계속한다고 경고했다.

오디나프는 초기 단계에서 표적 네트워크에 침입하기 위한 수단으로 사용된다. 네트워크에 머물며 추가적인 도구(툴)를 설치하는데 필요한 기능을 제공한다. 시만텍은 추가 도구를 살펴보면 수 년전부터 금융권을 공경해온 해커집단 `카바낙`과 수법이 유사하다고 전했다. 지역별로 미국(25%)이 가장 많은 공격을 받았다. 홍콩, 호주, 영국, 우크라이나 등이 뒤를 이었다.

공격자는 악성 매크로가 포함된 허위 문서를 이용해 표적 네트워크에 침입한다. 문서를 실행하면 숨겨진 매크로가 동작하며 컴퓨터에 오디나프 트로이목마가 설치된다. 패스워드로 보호된 RAR 압축파일도 사용한다. 주로 스피어 피싱 이메일로 유포 가능성이 높다.

오디나프는 공격을 시작 후 두 번째 악성코드 `배틀백도어`를 컴퓨터에 심는다. 메모리에서만 실행되기 때문에 감염 컴퓨터에 잠입 가능하다.

시만텍은 오디나프 공격 그룹이 국가 간 자금거래를 위한 SWIFT 사용기관을 공격하고 악성코드를 이용해 허위 거래 관련 고객 SWIFT 메시지 기록을 숨긴 증거도 발견했다.

윤광택 시만텍코리아 상무는 “사이버범죄자가 금융권에서 사용하는 시스템에 대해 높은 수준의 이해도와 전문적인 기술지식을 가지고 있음을 보여주는 사례”라며 “표적이 되는 조직은 심각한 위협에 빠질 수 있기 때문에 국내 금융기관과 기업도 철저한 보안으로 대비해야 한다”고 말했다.

박정은기자 jepark@etnews.com