세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
새로운 해킹 단체 FIN10 등장! 캐나다 기업 공격 중
  |  입력 : 2017-06-19 11:17
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
세르비아 및 러시아와 친한 것처럼 보이나 북미 사정에 훤해 보여
캐나다 광산 업체들과 도박 업체들에게 집중 공격 가해지고 있어


[보안뉴스 문가용 기자] FIN10이라고 명명된 해킹 그룹이 캐나다 기업들을 공격해 수천만 달러의 비트코인을 내놓으라고 협박하고 나섰다. 이 그룹은 적어도 2013년부터 공격을 시작한 것으로 보인다. 이를 발견한 건 보안 업체 파이어아이(FireEye)로, 지난 몇 주간 지속된 협박에 대해서 지난 주말에 발표했다.

[이미지 = iclickart]


FIN10의 전형적인 공격방식은 다음과 같다. 1) 먼저 피해자의 네트워크에 침투해 민감한 기업 정보와 전략 관련 문건들을 훔쳐낸다. 2) 개인식별정보 등 민감한 자료들도 함께 훔쳐낸다. 3) 그런 후 해당 기업에 협박을 시작한다. 약 100~500 비트코인을 요구하는 것으로 알려졌다. 이는 1억 2400만원에서 6억 2천만원에 해당한다.

만약 요구된 금액을 내지 못했을 경우 FIN10은 중요 OS 파일들을 삭제해 윈도우 시스템을 완전히 파괴시키고 시스템이 가동되지 못하도록 한다. FIN10은 여태까지 알려지지 않은 해킹 단체로 금전적인 목적을 가지고 파괴행위를 해온 여타 다른 그룹들과는 차이점을 보인다고 파이어아이의 수석 컨설턴트인 찰스 프레보스트(Charles Prevost)는 설명한다.

여태까지 이들에게 공격당한 기업들은 전부 캐나다의 광산업과 카지노 산업에 속해 있는 곳들이라고 한다. 또한 FIN10은 굉장히 파괴적으로 피해자 그룹에 피해를 끼친다고 한다. “시스템을 파괴하고, 기업을 협박하고, 임원진들을 조롱합니다. 또한 훔친 데이터를 대중에게 공개하는 데에 있어 거리낌이 없는 모습을 보입니다.”

FIN10은 추적자를 따돌리는 데에 매우 능숙한 모습을 보이며, 스스로 세르비아나 러시아와 가까운 관계에 있는 것처럼 보이려고 한다는 특징을 가지고 있다. 그러나 피해 기업들이나 지역을 보면 오히려 북미 사정에 훤한 것으로 보인다. “FIN10의 통신을 일부 가로챘을 때, 러시아어가 능숙한 사람들은 아닌 것이 거의 확실해졌습니다. 오히려 번역기를 사용해 영어를 러시아어로 번역한 것 같은 모습을 많이 보였습니다.”

현재 FIN10은 네트워크 침해 및 데이터 탈취에 높은 효율을 보이고 있다고 한다. 또한 기업을 협박하고 높은 금액을 비트코인으로 받아내는 것에도 능숙함이 눈에 띄어 한두 해 활동한 신생 기업 같아 보이지 않는다.

FIN10은 메타스플로잇(Metasploit), 파워쉘 엠파이어(PowerShell Empire), 스플린터랫(Splinter RAT) 등 시중에 나와 있는 소프트웨어 툴과 스크립트, 테크닉만을 사용해 네트워크에 침투하고, 권한을 상승시키며, 네트워크를 동-서로 움직여 데이터를 빼내간다. 아직까지는 독자적으로 개발한 툴이나 멀웨어가 사용된 경우는 없었다.

또한 최초 진입을 위해 FIN10이 주로 사용하는 전략은 밝혀진 바가 없다. 하지만 여러 가지 증거를 모아봤을 때 스피어피싱 공격이 가장 유력해 보인다. 그 외에 미터프리터(Meterpreter), 파워쉘(PowerShell), 윈도우 원격 데스크톱 프로토콜을 활용해 네트워크에 침투해 상주하는 것을 즐겨하는 것으로 보인다. 그리고 pastebin.con과 justpaste.it과 같은 웹사이트로 데이터를 업로드하거나 드롭박스 같은 서비스를 통해 파일을 공유한다. 먼저는 피해자에게 보여줄 일부분만 공유, 유출하고, 돈을 다 내지 못할 경우 대중에게 모든 데이터를 공개한다.

“많은 경우 피해자의 파일 서버에 접속해, 저장되어 있는 모든 것을 다운로드 합니다. 그런 다음 피해자에게 해당 사실을 알리고 약 10일의 기한을 주고 돈을 내라고 하죠. 10일 안에 돈이 다 들어오지 않으면 1차로 데이터 일부를 대중에게 공개합니다. 추가 72시간 안에 돈이 여전히 들어오지 않으면 2차 데이터 공개가 시작되고요. 그런 식으로 72시간마다 한 번씩, 돈이 들어오거나 데이터가 전부 공개될 때까지 데이터를 조금씩 공개합니다.”

돈을 내지 않고 버틴다고 상황이 끝나는 것도 아니다. “중요 네트워크에 침투할 수 있었고, 민감한 정보들을 다 가지고 가버렸기 때문에 공격자들이 생산 시스템 자체를 셧다운 시킬 수도 있고, 실제 그렇게 한 경우가 많습니다. 여기까지 오면 대부분 돈을 낼 수밖에 없죠.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



정부에서 가상화폐의 거래 투명성을 확보하기 위한 가상화폐 거래소 규제 방안을 마련했습니다. 정부의 가상화폐 정책에 있어 가장 중요한 원칙은 무엇이라고 보시나요?
모든 가상화폐는 시장 원리에 따라 정부의 개입이나 규제는 최소화되어야 함.
모든 가상화폐는 통화로 인정할 수 없다는 것을 전제로 보다 적극적인 규제에 나서야 함.
가상화폐 중 암호화폐의 경우 정식 통화로 인정하고 이에 따른 대안을 마련해야 함.
가상화폐중 비트코인 등의 암호화폐와 그 외의 가상화폐를 분리 대응해야 함.
기타(댓글로)