금융 분야를 노리는 가장 위험한 APT 그룹 분석
SOC Prime 플랫폼으로 방어 태세 강화
금융 기관은 추가 수익 경로를 추구하는 국가 지원 공격자들에게 언제나 매력적인 목표였습니다. 금융 부문을 노리는 지능형 지속 위협(APT)은 금융 기관을 침해하고, 민감한 데이터를 탈취하며, 금융 시스템을 교란시키는 등의 파괴적인 결과를 초래할 수 있습니다. APT 공격은 수개월 또는 수년에 걸친 지속적이고 조직적인 캠페인을 통해 이루어지며, 제로데이 익스플로잇(zero-day exploits)과 암호화 같은 고급 기법을 활용하여 탐지를 회피합니다.
APT 위협은 끊임없이 진화하고 있으며, 새로운 그룹이 등장하거나 기존 그룹이 전술을 수정할 수 있습니다. 금융 기관은 이러한 위협에 효과적으로 대응하기 위해 위협 탐지, 직원 교육, 사고 대응 계획 등 강력한 사이버 보안 대책을 유지해야 합니다. 또한 금융 부문 내 및 법 집행 기관과의 위협 인텔리전스 공유는 APT 공격의 조기 탐지와 완화에 도움이 됩니다.
SOC Prime 플랫폼은 축적된 사이버 보안 전문성을 기반으로 고급 위협 탐지 및 헌팅 도구를 제공하여 금융 기관을 대상으로 한 APT 공격에 선제적으로 대응할 수 있도록 지원합니다.
이 부문에서 활동하는 APT는 대개 자금력이 풍부하고 고도로 정교하여 매우 위험합니다. 이러한 사이버 첩보 그룹은 국가, 국가 후원 단체, 고급 사이버 범죄 조직을 포함합니다. 다음은 금융 산업을 대상으로 활동하는 가장 위험한 APT 그룹과 그들이 사용하는 기술을 탐지할 수 있는 콘텐츠에 대해 자세히 살펴보겠습니다.
FIN7 (Carbanak 그룹)
FIN7 또는 Carbanak으로 알려진 이 그룹은 전 세계에서 가장 성공적인 범죄 해킹 그룹 중 하나로 평가받습니다. 이들은 은행과 1,000명이 넘는 개인 고객으로부터 총 9억 달러 이상을 탈취한 것으로 알려져 있습니다.
FIN7은 일반적으로 기업 직원을 대상으로 한 “피싱” 이메일로 공격을 시작합니다. 해당 이메일에는 악성 코드가 삽입된 Microsoft Word 문서와 같은 첨부 파일이 포함되어 있으며, 실제 비즈니스 문서로 가장한 메시지를 통해 수신자가 첨부 파일을 열도록 유도합니다.
이들은 은행 네트워크에 침투한 후 다양한 방식으로 자금을 탈취했습니다. 일부 사례에서는 ATM을 원격으로 조작하여 현금을 인출하고, 수거된 자금을 SWIFT 네트워크를 통해 범죄자의 계좌로 송금했습니다.
APT19 (Deep Panda)
APT19 또는 Deep Panda는 중국을 기반으로 한 국가 후원 해킹 그룹으로 알려져 있으며, 2011년부터 활동을 시작했습니다. 특히 금융 산업을 주요 타깃으로 삼으며, 2017년에는 법률 및 투자 회사 7곳을 대상으로 피싱 캠페인을 실행했습니다. 이 캠페인은 다음 세 가지 전술을 사용했습니다:
- 5월 초, RTF 첨부 파일을 이용해 CVE-2017-0199 취약점을 악용
- 5월 말, 매크로가 활성화된 Excel (XLSM) 문서 사용
- 가장 최근에는 XLSM 문서에 응용 프로그램 화이트리스트 우회를 포함하고 Cobalt Strike 페이로드 전달
Deep Panda의 주요 목적은 데이터 탈취 및 경제적 첩보를 통한 경쟁 우위 확보입니다.
Lazarus Group
Lazarus Group는 북한과 연계된 정찰총국 산하 해커 조직으로 추정됩니다. 이들이 금융기관을 대상으로 수행한 공격은 Flame 작전, Operation 1Mission, Troy 작전, DarkSeoul, Ten Days of Rain 등 다양한 캠페인과 연결되어 있습니다.
Lazarus Group은 다음과 같은 이유로 금융 산업에서 매우 위험한 위협으로 간주됩니다:
- 정교한 도구와 기법을 사용하여 은행 시스템에 침투하고 오랫동안 탐지되지 않습니다.
- 정보 수집에 그치지 않고 금전적 동기를 가진 공격을 수행하며, 실제로 여러 은행 강도 사건과 연결되어 있습니다.
- 시스템에 침입한 후 장시간 머물며 환경을 분석하고 정교하게 범행을 준비합니다.
- 수억 달러에 이르는 피해를 야기하며, 소규모 금융기관에 치명적인 손실을 안길 수 있습니다.
Cobalt Group
금융 조직이 직면한 위협 중에서 특히 두드러지는 존재가 바로 Cobalt Advanced Persistent Threat(APT)입니다. 이 그룹은 10년 넘게 활동을 이어오고 있으며, 전술, 기술, 절차(TTP)를 지속적으로 발전시켜 왔습니다.
Cobalt APT는 전 세계 은행, 보험사, 투자사 등 금융기관을 주요 표적으로 삼고 있으며, ATM 시스템, 카드 결제, 지불 시스템, SWIFT 시스템을 침해하여 금전을 탈취합니다. 주로 동유럽, 중앙아시아, 동남아시아의 은행을 공격했으며, 2018년 스페인에서 조직원이 체포되었음에도 여전히 활동 중입니다. 이 그룹은 침입한 조직의 인프라를 이용해 추가 피해자로 확산하는 전략도 사용합니다.
Cobalt APT가 특히 위험한 이유는 고도로 조직화된 다단계 공격을 수행하기 때문입니다. 스피어 피싱, 제로데이 익스플로잇, 악성 문서 등 다양한 공격 벡터를 사용하며, 내부 침투 후 정찰, 횡적 이동, 권한 상승 등을 통해 핵심 금융 시스템에 접근합니다.
Cozy Bear
APT29로도 알려진 Cozy Bear는 러시아 정보기관과 연계된 사이버 첩보 조직으로 추정됩니다. 이 그룹은 은밀한 작전을 통해 시스템에 침투하고 민감한 정보를 탈취하는 데 집중합니다.
Cozy Bear는 방대한 자원과 동기를 가진 위협 행위자로서 금융 산업에 심각한 위협을 가합니다. 주요 목적은 첩보 수집이지만, 침투 과정에서 확보한 도구와 접근 권한은 금융 범죄나 서비스 교란에도 악용될 수 있습니다. 이 그룹은 특정 지역이나 산업에 한정되지 않고 전 세계적으로 활동하는 만큼, 모든 금융 기관이 경계를 늦추지 말아야 합니다. 또한 APT29의 작전은 복잡하여 명확한 공격 귀속(Attribution)을 어렵게 합니다.
Fancy Bear
APT28, 또는 Fancy Bear는 러시아 정부의 지원을 받는 해킹 그룹으로, 고도화된 사이버 공격을 금융 조직에 가해왔습니다. 이 그룹은 유럽, 미국 정부 기관, 우크라이나 주요 인프라 등을 포함한 광범위한 타깃을 공격 대상으로 삼습니다.
Fancy Bear는 2016년 미국 대선 해킹, 2017년 NotPetya 악성코드 캠페인, 미국 민주당 해킹 사건 등 다수의 고위험 공격과 연결되어 있습니다. 이들은 정교한 피싱 이메일을 사용해 직원들을 속여 악성 링크 클릭이나 첨부 파일 실행을 유도하고, 내부 네트워크에 침입한 후 권한을 상승시킵니다.
또한 아직 공개되지 않은 취약점을 악용하여 시스템에 비인가 접근을 시도하며, 고객 정보, 거래 기록, 지적 재산권 등 민감한 금융 데이터를 탈취합니다. 한 번 침투하면 장기간 내부에 잠복해 데이터를 지속적으로 유출하고 공격 범위를 확장하는 전략을 씁니다.
금융 산업을 겨냥한 주요 APT 행위자들의 악성 활동을 탐지할 수 있는 Sigma 규칙 전체 컬렉션을 확인하려면 아래 탐지 콘텐츠 둘러보기 버튼을 클릭하세요. 이 탐지 콘텐츠 팩은 28개 SIEM, EDR, XDR 및 데이터 레이크 기술과 호환되는 1,600개 이상의 Sigma 규칙을 포함합니다.
매일 새로운 공격 기법이 등장함에 따라, 방대한 탐지 규칙을 수동으로 처리하는 것은 매우 부담스러울 수 있습니다. 위협 헌팅을 자동화하고, 실시간으로 공격을 추적하며, 조직의 사이버 방어 공백을 산업별 위협 프로필에 따라 식별하려면 SOC Prime의 Attack Detective를 사용해 보세요. 동적 보안 분석으로 공격 표면을 보호하고 로그 소스 커버리지의 사각지대를 조기에 파악하여 핵심 자산을 안전하게 보호할 수 있습니다.
2023년 이후에도 SOC Prime 플랫폼이 제공하는 사이버 보안 솔루션은 금융 산업 보호에 핵심적인 역할을 수행합니다. Threat Detection Marketplace를 시작점으로 삼아 최신 TTP 기반 탐지 규칙 피드를 활용하세요. APT를 포함한 가장 까다로운 위협에 대한 사전 방어로 데이터 유출의 재정적 피해를 줄일 수 있습니다. Uncoder AI를 통해 Sigma 규칙 자동화 및 64개 이상의 SIEM, EDR, XDR 쿼리 언어 간 양방향 변환으로 보안 역량을 확장하세요.