2024-04-20 14:55 (토)
北 정찰총국 해킹그룹 ‘비글보이즈’…금융권 사이버공격 주범으로 지목
상태바
北 정찰총국 해킹그룹 ‘비글보이즈’…금융권 사이버공격 주범으로 지목
  • 길민권 기자
  • 승인 2020.09.29 23:18
이 기사를 공유합니다
미국 정부, 북한 해킹그룹 공격에 대한 금융분야별 권고사항 발표

미국의 국토안보부 사이버인프라보호청(CISA), 재무부, FBI, 사이버사령부 등은 합동으로 지난 8월 26일 북한의 금융분야 사이버위협에 관한 경보를 발령했다.

KISA 최신동향 자료에 따르면, 북한 정찰총국 소속 해킹그룹 ‘비글보이즈(BeagleBoyz)’는 2015년부터 30여 개국의 금융기관을 해킹해 20억불을 탈취 시도했다.

비글보이즈는 △은행 자동현금인출기(ATM) 해킹을 통한 현금 인출(일명 FASTCash), △은행 SWIFT 코드 사기 사건 (2016년 방글라데시 중앙은행 8천100만불 탈취), △대량의 암호화폐 탈취를 위한 암호화폐 거래소 탈취 등 사이버공격 등을 자행했다고 경고했다.

2019년말 이후 잠잠했던 북한은 2020년 2월 이후 다수 국가들의 은행을 겨냥해 국제 송금 사기 및 자동현금인출기(ATM) 해킹 등을 재개했다.

비글보이즈는 다양한 도구․기술을 사용해 금융기관 네트워크의 접근 권한을 획득하고, 네트워크 구성도를 익히면서, 금전을 탈취한다.

특정 개인이나 회사를 대상으로 한 피싱공격하는 ‘스피어피싱(spearphishing)’ 그리고 피해자가 방문할 가능성이 있는 웹사이트를 미리 감염시킨 뒤 공격하는 ‘워터링홀(watering holes)’ 등 다양한 기술을 활용해 금융기관에 대한 최초 침투(initial access)를 시도하고 있다.

이어 비글보이즈는 금융기관 망에 연결된 컴퓨터에 침투한 후, 피해 컴퓨터 시스템의 취약점을 선별적으로 공격한다.

금융기관의 컴퓨터 네트워크에 대한 취약점 공격을 진행하면서, 운영체제(OS)의 보안요소 회피를 위해 다양한 기술도 사용하고 있다. 절차기반 방어를 회피하기 위해, 절차에 코드를 침투하는 기술 등이 이때 사용되고 있다.

또 ECCENTRICBANDWAGON 등 멀웨어를 사용해 키보드로 입력하는 내용을 가로채거나(keystroke logging) 스크린 캡처를 통해 계정정보를 탈취한다.

금융 요청 메시지를 가로채거나 거짓 답신을 하기 위해 금융기관의 SWIFT 터미널 및 지불 전환 응용프로그램(payment switch application) 서버에 접근하고, CROWDEDFLOUNDER, HOPLIGHT, VIVACIOUSGIFT 등 악성코드를 사용해 금융기관 네트워크에 대한 원격 접속 및 통제 권한을 확보한다.

이때 원격 접속 트로이목마(Remote Access Trojan: RAT) 악성코드로, 공격 대상 전산망에 원격으로 일종의 비밀통로를 형성하는 것이다.

이들은 △압축 및 암호화 △스크립트 활용 △명령․통제 채널(C2 channels)을 통한 탈취 등 다양한 방식을 통해 침투한 시스템으로부터 데이터를 탈취하고, 암호화폐거래소 해킹과 관련, COPPERHEDGE 등 원격조정 도구도 활용하고 있다.

북한 해킹그룹 공격에 대한 분야별 권고사항들

미국 정부는 모든 금융기관을 대상으로 연방금융기관검사협의회(FFIEC) 핸드북상 사이버보안, 지불시스템 관련 내용 준수 및 주요 시스템에 대한 산업 보안 표준 준수를 권고했다.

또 소매 지불 시스템(retail payment system) 관련 기관에는 △칩 또는 PIN(개인인증번호) 암호화 요구, △지불시스템 인프라 격리, △운영 환경(operating environment)의 논리적 분리, △전송 중인 데이터(data in transit) 암호화, △단계별 보안(layered security)의 일환으로 비정상적 행위(anomalous behaviors)에 대한 모니터링 등을 권고했다.

현금자동인출기 관련 기관에는 △금융 요구 메시지 발행인(issuer) 응답에 대한 인증, △직불카드에 칩 또는 PIN 의무화, △금융 요구 응답 메시지 관련 인증 코드 요구 등을 권고했다.

그리고 모든 기관을 대상으로 △이용자 및 관리자(administrators)의 사이버보안 강화, △안티바이러스 서명 및 엔진 업데이트, △운영체계 업데이트, △파일 및 프린터 공유 서비스 해제, △소프트웨어 설치 및 운용 관련 이용자 권한 제한, △강력한 비밀번호 적용 및 정기적 변경, △이메일 첨부물 주의 등을 권고했다.

[하반기 최대 정보보안&개인정보보호 컨퍼런스 PASCON 2020 개최]

-날짜: 2020년 11월 10일 화요일

-장소: 서울 양재동 더케이호텔서울 2층 가야금홀

-대상: 공공, 금융, 기업 정보보안 및 개인정보보호 실무자

(이외 보안실무와 관련 없는 등록자는 참석이 제한 될 수 있습니다.)

-교육이수: 공무원, 기업 보안의무교육 7시간 인정. CPPG, CISSP 등 교육인정

-전시회: 국내외 최신 보안솔루션 트랜드를 한 눈에

-사전등록: 클릭

-참가기업 모집중: mkgil@dailysecu.com으로 문의

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
Tag
#북한 #해킹그룹 #금융보안 #사이버위협 #미국 #해커 #해킹
저작권자 © 데일리시큐 무단전재 및 재배포 금지
길민권 기자
길민권 기자 다른기사 보기
  • 서울특별시 송파구 송파대로 201 테라타워2, B동 9층 913-2호
  • 대표전화 : 02-400-2908
  • 팩스 : 02-400-2906
  • 청소년보호책임자 : 길민권
  • 법인명 :
  • 제호 : 데일리시큐
  • 등록번호 : 서울 아 02362
  • 등록일 : 2012년 11월 26일
  • 발행일 : 2013년 11월 26일
  • 발행·편집인 : 길민권
  • 사업자 번호 : 301-87-02348
  • 데일리시큐 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받는 바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2024 데일리시큐. All rights reserved. mail to mkgil@dailysecu.com
ND소프트