시만텍, 금융사 겨냥 신종 악성코드 '오디나프 트로이목마' 주의

2016-10-14 17:33
  • 글자크기 설정

[시만텍]


아주경제 이정하 기자 = 시만텍은 최근 전 세계 다수의 금융기관을 겨냥한 신종 악성코드 '오디나프 트로이목마(Trojan.Odinaff)'의 공격이 지속되고 있다고 14일 경고했다. 은행, 증권, 트레이딩 분야의 금융권 기관 및 기업들은 사이버 보안에 각별한 주의가 필요하다.

시만텍 조사 결과에 따르면, '오디나프'는 올 1월부터 탐지되기 시작했으며 이와 관련된 은밀한 공격이 전 세계 다수의 금융 기관을 대상으로 계속되고 있다.
오디나프는 보통 공격 초기 단계에서 표적 네트워크에 침입하기 위한 수단으로 사용되며, 네트워크에 머물면서 추가적인 툴을 설치할 수 있는 기능을 제공한다.

추가적인 툴을 살펴보면 수 년 전부터 금융권을 공격해온 악명 높은 해커 집단인 카바낙(Carbanak)의 정교한 공격 수법과 유사한 것으로 보인다. 공격 수법이 유사한 것 외에도 카바낙 그룹의 공격 캠페인에서 사용된 일부 인프라를 사용하는 등 다수의 연계 가능성이 발견됐다.

오디나프 공격 대상을 지역별로 보면, 미국(25%)이 가장 많은 공격을 받았고, 이어서 홍콩(20%), 호주(19%), 영국(12%), 우크라이나(8%) 순이다. 오디나프 공격의 표적은 비즈니스 유형이 알려진 공격의 경우, 금융업이 전체 공격의 34%를 차지하며 가장 큰 타격을 입었다.

오디나프 공격의 약 60%는 공격 받은 기관의 비즈니스 유형이 확인되지 않았지만, 대다수 금융 소프트웨어 애플리케이션이 실행되는 컴퓨터를 겨냥한 점을 봤을 때, 금전적 이득을 노렸을 것으로 추정된다.

공격자들이 표적 네트워크에 침입하기 위해 가장 많이 사용한 공격 방식은 악성 매크로가 포함된 허위 문서를 이용하는 것. 문서를 받은 사람이 매크로를 실행하면, 컴퓨터에 오디나프 트로이목마가 설치된다.

또 다른 방식은 패스워드로 보호된 RAR 압축파일을 사용해 컴퓨터에 오디나프를 설치하도록 만드는 것인데, 이는 스피어 피싱 이메일을 통한 유포 가능성이 높은 것으로 사료된다.

이 외에 안드로메다(Downloader.Dromedan)나 스니풀라(Trojan.Snifula)와 같은 다른 악성코드에 이미 감염된 봇넷을 통해 전파된 것으로 파악됐다.

오디나프 트로이목마로 공격을 시작한 뒤에는 다른 툴을 이용해 공격을 완료한다. 배틀 백도어(Backdoor.Batel)라는 두 번째 악성코드를 표적 컴퓨터에서 사용하는데, 이 악성코드는 오로지 메모리에서만 실행이 가능해 감염 컴퓨터에 몰래 잠입해 있을 수 있다.

오디나프 공격자들은 네트워크를 돌아다니며 중요 컴퓨터를 확인하기 위해 다양한 해킹 툴과 적법한 소프트웨어 툴을 폭넓게 이용하는 것으로 드러났다.

©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지

0개의 댓글
0 / 300

로그인 후 댓글작성이 가능합니다.
로그인 하시겠습니까?

닫기

댓글을 삭제 하시겠습니까?

닫기

이미 참여하셨습니다.

닫기

이미 신고 접수한 게시물입니다.

닫기
신고사유
0 / 100
닫기

신고접수가 완료되었습니다. 담당자가 확인후 신속히 처리하도록 하겠습니다.

닫기

차단해제 하시겠습니까?

닫기

사용자 차단 시 현재 사용자의 게시물을 보실 수 없습니다.

닫기
공유하기
닫기
기사 이미지 확대 보기
닫기
언어선택
  • 중국어
  • 영어
  • 일본어
  • 베트남어
닫기