금융보안원(원장 허창원)은 '2017 사이버 위협 인텔리전스 보고서'를 내고 2013년부터 2017년까지 국내 금융, 국방, 대기업, 보안기업을 노린 8건의 사이버공격을 '라이플캠페인'으로 명명했다. 금보원은 국내 IT와 업무 환경을 사전에 파악해 한국을 표적한 특정 위협 그룹을 프로파일링했다. 금보원이 외부에 위협 인텔리전스 보고서를 낸 것은 처음이다.
라이플캠페인과 관련된 공격은 2013년 금융과 방송사를 마비시킨 사건부터 시작된다. 2015년 국내외 방산업체 대상 표적공격, 2016년 2월 보안기업 코드서명 인증서 탈취, 2016년 5월 통신과 국방 관련 내부 자료 탈취가 포함된다. 2016년 8월 국방부 국방망 해킹사건, 올해 3월 ATM 악성코드 감염과 카드 정보탈취가 진행됐다. 공격자는 5월 금융사 직원이 자주 접속하는 사이트에 제로데이 취약점을 이용해 악성코드를 유포하고 기업 내부 침투를 시도했다.
블루노로프는 2016년 2월 알려진 방글라데시 중앙은행 스위프트 부정거래 사고를 일으켰다. 블루노로프는 주로 해외에서 활동했는데 올해 1월 국내 금융사 망분리 취약점을 이용해 내부망에 악성코드를 감염시켰다. IT개발 기업을 대상으로 스피어피싱과 웹셀 공격을 한 후 내부에 침투하려는 시도가 발견됐다.
금보원은 안다리엘과 블루노로프 그룹이 국내 금융권 공격 시 공조하는 정황을 포착했다. 블루노로프는 주로 글로벌 금융회사를 공격했는데 최근 한글 문서 취약점을 이용한 악성코드를 만들어 공격을 수행한다. 안다리엘은 과거 주로 내부 주요 자료를 탈취하거나 파괴 등 사이버테러를 수행했는데 최근 외화벌이 사이버 범죄도 수행한다. ATM 해킹 후 카드정보를 블랙마켓에 판매하고 사행성 게임 해킹 악성코드를 개발했다.
금보원은 “라자루스와 세부조직인 블루노로프, 안다리엘 그룹이 지속해 금융권 표적 공격을 시도 한다”면서 “내부 직원이 접속해 워터링홀 공격에 악용될 수 있는 비업무 웹사이트를 점검하는 등 보안 사각지대를 제거해야 한다”고 조언했다.
저작권자 © PRESS9 무단전재 및 재배포 금지