금융보안원은 지난 2~4월 수집한 주요 지능형 지속 보안 위협(APT·Advanced Persistent Threat) 그룹의 악성코드와 코로나19 관련 이메일을 분석한 ‘코로나19 금융부문 사이버 보고서’에 이 같은 내용을 담았다.
보고서에 따르면 김수키, 톤토, 코니, 마카오 등 APT 그룹 4개가 한국을 겨냥한 공격을 수행한 것으로 파악됐다. 김수키, 톤토, 코니 그룹은 악성코드가 첨부된 피싱 메일을, 마카오 그룹은 스미싱을 통해 악성 앱을 유포해 정보 탈취를 시도한 것으로 조사됐다. 메일들은 코로나19 확진자 동선이나 신천지 비상연락망을 담고 있는 것처럼 위장하기도 했다.
김수키는 북한 정부가 배후로 추정되는 해커 그룹이다. 코니 그룹 역시 김수키와 깊은 연관이 있는 것으로 알려지고 있다. 코니 그룹은 코로나19 관련 마스크 사용을 권고하는 문서로 위장해 악성코드를 유포했다. 돈토는 중국 선양을 근거지로 활동 중이며 중국 인민군과 연계된 것으로 추정된다.
금융보안원 금융보안관제센터에서 탐지한 약 7만3000건의 악성 의심메일 중 90%가량은 마스크 판매 관련 피싱 사이트로 접속을 유도한 것으로 확인됐다. 세계보건기구(WTO)를 사칭한 가상통화 기부 요청 등 금융사기, 첨부파일을 이용한 악성코드 유포 공격 등의 사례도 보고됐다.
아이피(IP) 주소를 분석한 결과 107개국, 3827개 IP에서 메일을 발송한 것으로 분석됐다. 발송량이 많은 국가는 터키(62%), 미국(10%) 순이었다. 금융보안원은 현재까지 금융회사에 심각한 위협이 되는 사례는 없는 것으로 파악했다.
김영기 금융보안원 원장은 "금융권이 코로나19를 악용한 사이버 위협에 선제 대응을 할 수 있도록 적극적으로 지원할 것"이라고 했다.
송기영 기자(rckye@chosunbiz.com)
<저작권자 ⓒ ChosunBiz.com, 무단전재 및 재배포 금지>
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
