[아이뉴스24 성지은기자] 세계 금융 기관을 노린 '사일런스 트로이목마' 공격이 계속되고 있다.
카스퍼스키랩은 지난 9월부터 러시아, 아르메니아, 말레이시아를 포함한 여러 지역에서 10개 이상의 금융기관에 새로운 형태의 표적 공격이 연이어 발생했다고 14일 발표했다.
카스퍼스키랩에 따르면, 이 공격은 러시아어를 사용하는 신생 해킹 그룹인 사일런스(Silence)의 소행이다. 다른 악명 높은 집단인 카바낙(Carbanak)과 유사한 기술을 활용해 피해자로부터 돈을 훔치고 있으며 공격은 지금도 계속 이어지고 있다.
사일런스는 먼저 스피어피싱 이메일로 피해 기관의 인프라를 감염시킨다. 메일에 첨부된 악성 파일은 기능이 정교하다. 피해자가 파일을 열면 한 번의 클릭만으로도 다운로드가 연이어 실행되고 결국 악성코드가 구동된다.
악성코드는 명령제어(C&C) 서버와 연결한 후 감염된 기기의 ID를 전송하고 추가 악성코드를 내려받아 실행한다. 이후 블루 스크린, 데이터 업로드, 자격 증명 정보 절도, 원격 제어 등의 문제를 야기한다.
사일런스는 실제 금융기관 종사자의 주소를 사용해 피해자에게 계좌 개설 요청 이메일을 보낸다. 이미 감염된 금융 기관 인프라를 새로운 공격에 악용하는 식이다. 이 때문에 메일 수신자는 감염 매개를 인지하기 어렵다고 카스퍼스키랩 측은 지적했다.
이창훈 카스퍼스키랩코리아 대표는 "사일런스 트로이목마는 사이버 범죄자들이 일반 사용자가 아닌 은행을 직접 노리는 쪽으로 점차 돌아서고 있음을 보여주는 증거"라고 말했다.
한편, 카스퍼스키랩은 사이버 공격을 막기 위해 ▲지능형지속위협(APT) 솔루션 사용 ▲부적절한 시스템 구성·애플리케이션 오류 등 보안 허점 제거 ▲엄격한 이메일 처리 정책 설정 ▲악성 첨부 파일과 스팸 처리에 특화된 보안 솔루션 활용 등 보안조치를 취할 것을 당부했다.
성지은기자 buildcastle@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기