카바낙을 능가하는 금융기관을 노린 은밀한 공격 '사이런스'

러시아와 아르메니아, 말레이시아 등 10여개 이상 금융기관에 새로운 표적 공격이 발생했다.

카스퍼스키랩은 해당 공격이 신생 해킹 그룹인 사이런스(Silence) 소행으로 금융기관을 주로 공격했던 카바낙과 유사한 기술을 사용한다고 밝혔다.

카스퍼스키랩은 사이런스가 금융 기관에서 수백만 달러를 절도한 메텔(Metel), GCMAN, 카바낙에 버금가는 사이버 절도 조직이라고 분석했다. 금융기관 피해 규모나 방법 복잡성이 상당한 수준이다.

사이런스는 내부 뱅킹 네트워크에 장기간 지속해서 액세스를 확보했다. 해당 네트워크에 숨어 하루 활동을 모니터링하고 개별 뱅킹 네트워크의 상세 정보를 확인한다. 적당한 시기에 그 동안 모은 지식을 활용해 돈을 빼낸다.

은행을 직접 노린 사이버 범죄가 늘었다. (자료:카스퍼스키랩 시큐리스트 블로그)
<은행을 직접 노린 사이버 범죄가 늘었다. (자료:카스퍼스키랩 시큐리스트 블로그)>

사이런스는 스피어피싱 이메일로 피해 기관 인프라를 감염시킨다. 피해자가 파일을 열면 한 번 클릭만으로 다운로드가 연이어 실행된다. 결국에는 드롭퍼 악성 코드가 실행된다. 이 드롭퍼가 명령&제어(C&C) 서버와 연결한 후 감염된 기기 ID를 전송하고 추가 악성 코드를 내려 받는다. 이후 블루 스크린, 데이터 업로드, 자격 증명 정보 절도, 원격 제어 등의 문제를 일으킨다.

실제 기관 종사자 주소를 사용해 피해자에게 계좌 개설 요청 이메일을 보내는 식으로 이미 감염된 금융 기관 인프라를 공격에 악용한다. 메일 수신자는 감염 매개를 인지하지 못한다.

네트워크에 장기간 액세스를 확보한 후에는 네트워크 조사에 착수한다. 사이런스 그룹은 피해 컴퓨터 화면을 여러 스크린샷으로 기록하고 실시간 동영상으로 활동 모습을 스트리밍 한다. 피해자 일상 활동을 파악하고 절도 정보를 확보하기 위해서다. 이러한 과정과 방식은 카바낙 수법과 유사하다.

카스퍼스키랩 보안 연구진은 사이런스 공격 요소 중 언어 증거를 토대로 범죄자가 러시아어를 사용한다는 사실을 밝혀냈다.

이창훈 카스퍼스키랩코리아 대표는 “사이런스 악성코드는 사이버 범죄자가 일반 사용자가 아닌 은행을 직접 노리는 형태로 돌아섰음을 보여준다”면서 “교묘한 지능형지속위협(APT) 방식의 사이버 절도 범죄가 성행한다”고 말했다.

김인순 보안 전문기자 insoon@etnews.com

위방향 화살표