금융보안원, 코로나19 금융부문 사이버위협동향 분석 및 보고서 발간
[보안뉴스 원병철 기자] 최근 코로나바이러스 감염증-19(이하 코로나19)를 악용한 사이버위협이 증가했으며, 특히 4개의 국제 APT그룹들이 한국 금융분야를 노린 것으로 확인됐다. 금융보안원(원장 김영기)은 2020년 2월부터 4월까지 수집한 주요 APT 위협그룹의 악성코드와 금융보안원의 금융보안관제센터에서 탐지한 코로나19와 관련 있는 이메일 680만여 건을 분석하고, 코로나19 관련 국내 타깃 APT 위협그룹 동향과 금융부문 탐지현황을 수록한 ‘코로나19 금융부문 사이버 위협동향’ 보고서를 발간했다.
▲국내 타깃 APT 위협그룹의 코로나19 관련 공격 타임라인[자료=금융보안원]
보고서에서는 4개의 APT 위협그룹(김수키, 톤토, 코니, 마카오)이 국내를 대상으로 공격을 수행한 것으로 파악했다. 김수키, 톤토, 코니 그룹은 악성코드가 첨부된 피싱메일을, 마카오 그룹은 스미싱을 통해 악성 앱을 유포하여 정보탈취 등을 시도했다. 특히, 북한관련 주제로 스피어피싱 공격을 수행하는 코니그룹의 경우 코로나19 관련 마스크 사용을 권고하는 문서로 위장해 악성코드를 유포했다.
김수키는 한국수력원자력 해킹 공격의 배후로 알려진 위협그룹이며, 톤토는 중국 정부의 지원을 받는 것으로 추정되는 위협그룹이다. 또, 마카오는 주로 택배 회사를 사칭해 악성앱을 유포하며, 코니는 북한 관련 주제로 스피어피싱 공격을 수행한다.
금융보안원은 금융보안관제센터에서 탐지한 코로나 관련 이메일 680만여건을 분석한 결과, 약 1%에 해당하는 약 7만 3,000건의 악성 의심메일을 발견했다. 악성 의심메일의 90%는 마스크 판매 관련 피싱사이트로 접속을 유도하는 것으로 확인됐으며, 이외 WHO(세계보건기구)를 사칭한 가상통화 기부 요청 등 금융사기, 첨부파일을 이용하는 악성코드 유포 공격 등으로 확인됐다. 악성 의심메일 발송 IP분석 결과 총 3,827개 IP, 107개 국가에서 메일을 발송한 것으로 분석됐으며, 발송량이 많은 국가로는 터키(62%), 미국(10%) 순으로 나타났다.
코로나19 악용 공격은 대부분 메일 등을 이용한 피싱 공격으로 사용자의 행위에 따라 ①악성코드 유포 ②피싱사이트 유도 ③금융사기 ④악성앱 유포를 통한 모바일 공격으로 유형을 구분된다. 다만, 코로나19를 이용한 사이버 공격이 급증하고 있으나 현재까지 금융회사의 심각한 위협 사례는 없는 것으로 파악됐다.
이는 금융회사가 스팸 메일 차단 등 이메일 보안 체계 및 망분리 환경 구축 등을 통해 악성메일에 효과적으로 대응하고 있고, 금융보안원에서 매년 최신의 APT 공격 대응을 포함한 ‘금융권 사이버 침해사고 대응훈련’을 통해 금융회사 임직원의 사이버 공격 대응 역량을 강화하고 금융회사의 침해사고 대응체계를 지속적으로 개선한 점에 기인한 것으로 분석됐다.
금융보안원에서는 올해 4월부터 185개 금융회사를 대상으로 실시하고 있는 ‘금융권 사이버 침해사고 대응훈련’에 이번에 분석한 코로나19 관련 사이버 공격 유형 등을 적시 반영하는 등 날로 지능화·고도화되는 사이버 공격 및 최신 사이버 위협에 대한 금융권의 탐지·대응·복구 능력을 지속적으로 향상시켜 나갈 예정이다. 아울러 사이버공격은 취약한 고리를 공격 포인트로 이루어지는 만큼 금융회사 및 종사자들 또한 최근의 사이버공격 유행 등에 관심을 기울이고 각자 보안 유의사항을 철저히 준수할 필요가 있다.
금융보안원 김영기 원장은 “최근 주요 APT 공격 그룹들이 전 세계적으로 유행하는 코로나19를 사이버 공격에 이용하는 등 신종 사회공학적 기법이 수반되는 만큼, 이번 보고서에서 분석한 사이버위협 및 탐지동향을 금융회사와 공유함으로써, 금융권이 코로나19를 악용한 사이버 위협에 선제적인 대응을 할 수 있도록 적극적으로 지원할 것”이라고 밝혔다. 이어 “비대면의 언택트 세상 속에서 초연결 시대가 더욱 가속화되고, 사이버 위협이 더욱 지능화·고도화 되는 등 향후 코로나19 뿐만 아니라 새로운 사이버 위협에 대해서도 금융권이 선제적으로 대응하여 피해를 예방할 수 있도록 사이버 위협 탐지 및 분석·정보 공유체계를 더욱 강화해 나갈 것”이라고 밝혔다.
[원병철 기자(boanone@boannews.com)]
[보안뉴스 원병철 기자] 최근 코로나바이러스 감염증-19(이하 코로나19)를 악용한 사이버위협이 증가했으며, 특히 4개의 국제 APT그룹들이 한국 금융분야를 노린 것으로 확인됐다. 금융보안원(원장 김영기)은 2020년 2월부터 4월까지 수집한 주요 APT 위협그룹의 악성코드와 금융보안원의 금융보안관제센터에서 탐지한 코로나19와 관련 있는 이메일 680만여 건을 분석하고, 코로나19 관련 국내 타깃 APT 위협그룹 동향과 금융부문 탐지현황을 수록한 ‘코로나19 금융부문 사이버 위협동향’ 보고서를 발간했다.
▲국내 타깃 APT 위협그룹의 코로나19 관련 공격 타임라인[자료=금융보안원]
보고서에서는 4개의 APT 위협그룹(김수키, 톤토, 코니, 마카오)이 국내를 대상으로 공격을 수행한 것으로 파악했다. 김수키, 톤토, 코니 그룹은 악성코드가 첨부된 피싱메일을, 마카오 그룹은 스미싱을 통해 악성 앱을 유포하여 정보탈취 등을 시도했다. 특히, 북한관련 주제로 스피어피싱 공격을 수행하는 코니그룹의 경우 코로나19 관련 마스크 사용을 권고하는 문서로 위장해 악성코드를 유포했다.
김수키는 한국수력원자력 해킹 공격의 배후로 알려진 위협그룹이며, 톤토는 중국 정부의 지원을 받는 것으로 추정되는 위협그룹이다. 또, 마카오는 주로 택배 회사를 사칭해 악성앱을 유포하며, 코니는 북한 관련 주제로 스피어피싱 공격을 수행한다.
금융보안원은 금융보안관제센터에서 탐지한 코로나 관련 이메일 680만여건을 분석한 결과, 약 1%에 해당하는 약 7만 3,000건의 악성 의심메일을 발견했다. 악성 의심메일의 90%는 마스크 판매 관련 피싱사이트로 접속을 유도하는 것으로 확인됐으며, 이외 WHO(세계보건기구)를 사칭한 가상통화 기부 요청 등 금융사기, 첨부파일을 이용하는 악성코드 유포 공격 등으로 확인됐다. 악성 의심메일 발송 IP분석 결과 총 3,827개 IP, 107개 국가에서 메일을 발송한 것으로 분석됐으며, 발송량이 많은 국가로는 터키(62%), 미국(10%) 순으로 나타났다.
코로나19 악용 공격은 대부분 메일 등을 이용한 피싱 공격으로 사용자의 행위에 따라 ①악성코드 유포 ②피싱사이트 유도 ③금융사기 ④악성앱 유포를 통한 모바일 공격으로 유형을 구분된다. 다만, 코로나19를 이용한 사이버 공격이 급증하고 있으나 현재까지 금융회사의 심각한 위협 사례는 없는 것으로 파악됐다.
이는 금융회사가 스팸 메일 차단 등 이메일 보안 체계 및 망분리 환경 구축 등을 통해 악성메일에 효과적으로 대응하고 있고, 금융보안원에서 매년 최신의 APT 공격 대응을 포함한 ‘금융권 사이버 침해사고 대응훈련’을 통해 금융회사 임직원의 사이버 공격 대응 역량을 강화하고 금융회사의 침해사고 대응체계를 지속적으로 개선한 점에 기인한 것으로 분석됐다.
금융보안원에서는 올해 4월부터 185개 금융회사를 대상으로 실시하고 있는 ‘금융권 사이버 침해사고 대응훈련’에 이번에 분석한 코로나19 관련 사이버 공격 유형 등을 적시 반영하는 등 날로 지능화·고도화되는 사이버 공격 및 최신 사이버 위협에 대한 금융권의 탐지·대응·복구 능력을 지속적으로 향상시켜 나갈 예정이다. 아울러 사이버공격은 취약한 고리를 공격 포인트로 이루어지는 만큼 금융회사 및 종사자들 또한 최근의 사이버공격 유행 등에 관심을 기울이고 각자 보안 유의사항을 철저히 준수할 필요가 있다.
금융보안원 김영기 원장은 “최근 주요 APT 공격 그룹들이 전 세계적으로 유행하는 코로나19를 사이버 공격에 이용하는 등 신종 사회공학적 기법이 수반되는 만큼, 이번 보고서에서 분석한 사이버위협 및 탐지동향을 금융회사와 공유함으로써, 금융권이 코로나19를 악용한 사이버 위협에 선제적인 대응을 할 수 있도록 적극적으로 지원할 것”이라고 밝혔다. 이어 “비대면의 언택트 세상 속에서 초연결 시대가 더욱 가속화되고, 사이버 위협이 더욱 지능화·고도화 되는 등 향후 코로나19 뿐만 아니라 새로운 사이버 위협에 대해서도 금융권이 선제적으로 대응하여 피해를 예방할 수 있도록 사이버 위협 탐지 및 분석·정보 공유체계를 더욱 강화해 나갈 것”이라고 밝혔다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
