2024-03-29 02:50 (금)
[긴급] 한국 금융기관 대상 DDoS 공격 협박한 해킹조직…중국 금융기관 먼저 협박
상태바
[긴급] 한국 금융기관 대상 DDoS 공격 협박한 해킹조직…중국 금융기관 먼저 협박
  • 길민권 기자
  • 승인 2017.06.22 17:28
이 기사를 공유합니다

Armada Collective, 한국보다 먼저 중국서 금융기관 대상으로 DDoS 공격 협박

▲ Armada Collective 해킹조직이 금융권을 대상으로 협박한 내용 이미지
▲ Armada Collective 해킹조직이 한국 금융기관을 협박하기 전 이미 15일 중국 금융기관 대상으로 디도스 공격 협박을 한 것으로 조사됐다. 협박 내용 이미지
지난 21일 오전 7시부터 국내 다수 금융회사를 대상으로 SYN Flooding, NTP 등 DDoS(디도스) 공격 유입이 탐지됐다. 또 공격을 받은 금융기관을 대상으로 자신들을 해킹단체 ‘Armada Collective’로 밝히고 공격을 멈추기 위해 비트코인을 요구하는 협박메일을 발송한 것으로 조사됐다. 한편 이들은 한국 보다 먼저 15일경 중국 금융사를 대상으로 DDoS 공격 협박을 한 것으로 밝혀졌다.

◇Armada Collective의 한국 금융사 협박 내용

이들이 국내 금융사를 대상으로 발송한 협박 메일 내용을 살펴보면, 미라이 봇넷 공격네트워크를 확보하고 있으며 1TBbps 공격이 가능하다. 그리고 공격을 멈추기 위해서는 금융회사당 10 BITCOIN(3천만원)을 지불하라는 내용이다. 또 장난이 아니란 것을 보여주기 위해 15분정도 맛보기로 공격할 것이며 몇일까지 돈을 지급하지 않으면 가격은 계속 올라갈 것이다. 더불어 언론매체나 경찰에 신고하면 영원히 공격할 것이며 10비트코인을 지불하면 다시는 괴롭히지 않을 것이란 내용으로 파악된다.

실제로 몇 몇 금융기관 홈페이지에 15분 정도 SYN FLOODING DDoS 공격이 유입된 것으로 조사됐으며 트래픽은 최대 10Gbps이하 수준이었다. 이외 통신사쪽으로도 DDoS 공격이 유입됐다. 통신사 쪽 공격은 규모가 꽤 큰 수준이었다.

현재 국내 금융기관들은 각 기관별로 DDoS(디도스) 공격 패턴을 분석해 방어장비의 룰셋을 조정해 대응 중에 있으며 향후에 트래픽이 커지고, 공격패턴이 다양하고 정교해질 경우에는 실제 서비스에 영향을 받을 수 있는 것으로 분석되고 있다.

이에 금융보안 관련 기관은 각 기관에 “DDoS 공격 재발 및 확산 가능성에 대비해 지속적으로 경계 태세를 유지하고 DDoS 공격 모니터링 강화 및 대응 체계 점검, 네트워크 인입 구간에서 불필요한 프로토콜이나 포트를 차단(1900/ssdp, 출발지 포트 123/udp 등)할 것, 그리고 업무적으로 사용하는 IP외에는 차단할 것을 권고하고 있다.

또 개별 금융기관의 회선 대역폭을 초과하는 대량 공격 트래픽이 발생할 경우 ISP단 또는 DDoS비상대응센터에서 차단할 수 있도록 준비하고 있는 상황이다.

◇Armada Collective, 한국보다 먼저 중국서 금융기관 대상으로 DDoS 공격 협박

한편 중국 금융기관들은 한국보다 며칠 앞선 15일 해킹단체 ‘Armada Collective’로부터DDoS 공격 협박 메일을 받은 바 있다.

중국 보안위협 정보수집 전문기업 씨엔시큐리티(대표 류승우)의 해외 정보에 따르면, knownse(노운섹) 클라우드 보안전문가가 밝혀낸 정보로, 2017년 6월 15일부터 ‘Armada Collective’ 조직이 중국 내 다수의 증권금융회사와 인터넷금융회사를 DDoS 공격해 비트코인을 요구하는 협박을 했다. 비트코인을 보내지 않으면 1T(테라바이트) 이상의 DDoS 공격을 퍼부어 금융거래 서비스를 마비시키겠다는 것이다. 한국 금융기관을 대상으로 한 협박과 같은 내용이다.

이미 중국 6곳 이상의 금융증권 회사가 DDoS 공격으로 협박당했으며, 이중 4개의 기업이 대규모 DDoS공격(2G에서 20G사이 트래픽)을 당했다.

그리고 Armada Collective 조직은 만약 기업이 메일에서 요구한 기간 내에 비트코인을 지불하지 않으면 1T 이상 트래픽을 지속적으로 공격하겠다고 하고 또한 요구하는 비트코인금액을 점차 올리겠다고 협박했다.

한편 Armada Collective 조직은 지난 2015년 12월에도 중국 내 인터넷 기업에게 동일한 DDoS 공격수단으로 협박한 사례가 있는 것으로 조사됐다.

이 조직은 전세계 140여개 이상의 금융기관을 대상으로 코드명 ‘Opicarus2017’ 공격을 실행해 온 것으로 조사되고 있고 금융분야를 겨냥한 대규모 DDoS 공격을 2015년과 2016년 2년간 연속으로 4차례 진행한 것으로 알려져 있다.

그 당시 홍콩상해은행(Hong Kong Shanghai Bank Corp), 터키 은행, 그리스 중앙은행, 키프로스 (CypruAs) 중앙은행, 멕시코은행, 멕시코북부은행, 방글라데시은행 등 다수의 은행이 당했으며, 미국연방준비은행(Federal Reserve Bank), 세계은행, 국제통화기금(IMF), 뉴욕증권거래소 및 영국은행 등 간판 금융기관이 심각한 영향을 받았다.

분석가들은 이번 중국 금융기관 공격은 Opicarus의 제5차공격이며, 6월 11일부터 중국인민은행을 포함해 공격을 시작했다.

현재 9개가 넘는 중국 금융기관이 이미 해커에 의해 데이터베이스 인젝션 공격을 당했다. 아시아 개발은행과 카르타나카 주 그라민은행의 민감한 데이터정보가 해커에 의해 절취 되었다.

이 밖에, 일부 금융기관은 DDoS공격을 당해 웹사이트 서비스를 사용할 수 없으며, 현재 공격은 진행 중에 있는 상황이다.

한편 올해 이 조직은 공격 방식을 바꿔 DDoS 공격과 동시에 SQL인젝션 공격을 진행했다. 만일 금융기관의 중요한 데이터가 절취된다면 결과는 치명적이다. 국내 금융기관도 DDoS 공격 뿐만 아니라 데이터 유출 공격에도 민감하게 준비해야 할 것으로 보인다.

Armada Collective 해킹조직이 중국금융 기관에 이어 한국 금융기관을 대상으로 DDoS 공격 협박을 하고 있는 만큼 철저한 대비와 그들에 대한 인텔리전스 정보가 필요한 시점이다. 인터넷나야나가 랜섬웨어 공격에 굴복한 사건에 이어 이제는 DDoS 공격을 볼모로 협박을 하고 있는 해커들의 공격 형태가 이제 직접적으로 돈을 요구하는 노골적인 사이버범죄자들의 행태를 띄고 있어 더욱 우려스럽다. 

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★