금융보안원은 러시아에 기반을 둔 것으로 추정되는 해커조직 TA(Threat Actor)505의 국내 금융권 공격 기술 등을 분석한 'TA505 위협그룹 프로파일링' 보고서를 발간했다고 30일 밝혔다.

금융보안원은 지난해 상반기 지속해서 발생한 국내 금융권 피싱(phishing·정보 탈취 사기) 공격의 배후로 TA505를 지목하고, 약 60만건의 피싱 메일을 추적, 분석했다.

TA505는 2014년부터 금융정보 탈취 악성코드 및 랜섬웨어, 원격 제어 악성코드를 이용해 해외 금융권 등을 공격한 조직이다.

국내에서는 지난해 2월부터 본격적으로 공격받았다.

보고서에 따르면 TA505그룹은 금융·제조업, 병원처럼 대규모 피해가 날 수 있는 기업이나 단체에 메일을 통해 악성코드를 유포했다.

메일은 일주일 중 수요일(24%)과 목요일(26.1%)에, 시간대별로는 출근 시간(오전 7∼9시)에 집중적으로 발송됐다.

이들은 악성코드를 실행해 PC에서 정보를 탈취하고, 내부망을 제어한 뒤 랜섬웨어를 감염시키는 방식으로 공격을 진행했다.

이들은 또 애플과 구글, 네이버, 마이크로소프트 등을 사칭하는 피싱 사이트도 운영했다.

금융보안원은 이번 보고서를 토대로 금융권을 대상으로 한 신종 사이버 공격의 대응 요령을 금융권과 공유할 예정이다.

또 금융권에 특화한 정보 보고서를 매년 정기 발간할 계획이다.

김영기 금융보안원장은 "국내 금융권이 사이버 공격에 선제 대응하도록 사이버 위협의 수집·탐지, 분석, 정보 공유를 지속해서 강화해 나갈 것"이라고 말했다.

금융보안원, 러 해커조직 TA505 금융권 공격 분석 보고서 발간
/연합뉴스