파이어아이, 금전 목적 해킹조직 ‘FIN11’ 분석 보고서 발표
2016년부터 활동 시작해 금융, 소매, 제약, 해운 등 다양한 분야와 국가 공격

[보안뉴스 이상우 기자] 보안 솔루션 기업 파이어아이가 금전 목적의 공격 그룹 ‘FIN11’에 관한 내용을 담은 보고서를 공개했다. 맨디언트에 따르면, FIN11은 2016년부터 활동을 시작했으며, 다양한 공격 기법과 함께 ‘FlawedAmmy(플로드에이미)’, ‘FRIENDSPEAK(프렌드스피크)’, ‘MIXLABEL(믹스라벨)’ 등 독자적인 코드군을 보유하고 있다.


파이어아이 측은 FIN11은 금전 목적의 공격자 중 가장 규모가 크고 지속력이 강한 멀웨어를 배포하며, 대량의 악성 이메일 공격 캠페인 외에도 멀웨어 배포 전략 및 기법을 끊임없이 진화시킨다는 점에서 주목할 만하다고 설명했다. 또한, 최근 FIN11의 공격 활동은 대부분 ‘CLOP 랜섬웨어’를 배포해 피해자 네트워크에 침입하여 데이터를 탈취하는 데까지 이어지며, 포스(POS, point-of-sale) 멀웨어를 배포했던 예전 방식과 비교해 진화하고 있다고 덧붙였다. 보고서의 주요 내용은 다음과 같으며, ‘FIN11 리포트’는 파이어아이 블로그에서 확인할 수 있다.

△FIN11은 맨디언트 위협 인텔리전스가 최근 주시한 금전적 목적의 공격 그룹이며, 대부분 독립 국가 연합(Commonwealth Independent States, CIS)의 소속으로 활동하고 있는 것으로 추정된다.

△FIN11은 전세계 다양한 지역 및 산업의 기업을 공격해왔다. 예를 들어, 맨디언트가 한 주간 발견한 공격만 해도 제약 산업, 해운 및 물류 기업, 북미 및 유럽 조직, 독일어 및 이탈리아어 사용자 등 넓은 범위에 걸쳐 나타났다. FIN11은 기업 외에도 학술, 정부, 공공 기관까지도 공격 대상으로 삼는다.

△최소 2016년부터 활동하기 시작한 FIN11은 멀웨어를 배포하기 위해 광범위한 피싱 공격을 실시해왔다. FIN11은 보통 일주일에 수 천 통의 이메일을 전송하는 등 다수의 피싱 공격을 실시하며, 매달 배포 전략을 변경한다.

△최근 FIN11은 실질적인 수익을 얻기 위해 복합적인 탈취 공격 수법을 사용한다. CLOP 랜섬웨어를 활용해 데이터를 갈취한 후 피해자에게 이에 대한 대가로 적게는 수십만 달러에서 많게는 천만 달러까지 요구하며 지불하지 않으면 유출된 데이터를 공개하겠다고 압박 및 협박한다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>