인텔리전스 기반 보안 솔루션 글로벌 기업 파이어아이가 금전 목적의 공격 그룹 FIN11에 관한 자세한 내용을 담은 ‘FIN11 리포트’를 공개했다. 맨디언트에 따르면, FIN11은 2016년부터 활동한 것으로 관찰됐으며, 기존의 다양한 공격 전략과 기법뿐만 아니라FlawedAmmy(플로드에이미), FRIENDSPEAK(프렌드스피크), MIXLABEL(믹스라벨) 등 독자적인 코드군을 사용하는 공격그룹이다.

FIN11은 맨디언트 연구원이 지금까지 목격한 금전 목적의 공격자 중 가장 규모가 크고 지속력이 강한 멀웨어를 배포한다. FIN11은 대량의 악성 이메일 공격 캠페인 외에도 멀웨어 배포 전략 및 기법을 끊임없이 진화시킨다는 점에서 주목할 만 하다. 맨디언트 컨설턴트는 FIN11이 기업 네트워크에 접근하여 불법 수익을 창출하려 한 여러 사건에 대응해왔다.

FIN11의 공격 활동은 대부분CLOP 랜섬웨어를 배포해 피해자 네트워크에 침입하여 데이터를 탈취하는 데까지 이어진다. 포스(POS; point-of-sale) 멀웨어를 배포했던 예전 방식에 비해 점차 유연하고 진화된 방식으로 접근하고 있다.

2019년 9월에서 2020년 6월까지 FIN11의 활동, 자료제공=파이어아이
2019년 9월에서 2020년 6월까지 FIN11의 활동, 자료제공=파이어아이

FIN11은 맨디언트 위협 인텔리전스(Mandiant Threat Intelligence)가 최근 주시한 금전적 목적의 공격 그룹이며, 대부분 독립 국가 연합(Commonwealth Independent States, CIS)의 소속으로 활동하고 있는 것으로 추정된다.

FIN11은 전세계 다양한 지역 및 산업의 기업을 공격해왔다. 예를 들어, 맨디언트가 한 주간 발견한 공격만 해도 제약 산업, 해운 및 물류 기업, 북미 및 유럽 조직, 독일어 및 이탈리아어 사용자 등 넓은 범위에 걸쳐 나타났다. FIN11은 기업 외에도 학술, 정부, 공공 기관까지도 공격 대상으로 삼는다.

최소 2016년부터 활동하기 시작한 FIN11은 멀웨어를 배포하기 위해 광범위한 피싱 공격을 실시해왔다. FIN11은 보통 일주일에 수 천 통의 이메일을 전송하는 등 다수의 피싱 공격을 실시하며, 매달 배포 전략을 변경한다.

최근 FIN11은 실질적인 수익을 얻기 위해 복합적인 탈취 공격 수법을 사용한다. CLOP 랜섬웨어를 활용해 데이터를 갈취한 후 피해자에게 이에 대한 대가로 적게는 수십만 달러에서 많게는 천만 달러까지 요구하며 지불하지 않으면 유출된 데이터를 공개하겠다고 압박 및 협박한다.

이향선기자 hyangseon.lee@etnews.com

관련기사

저작권자 © 넥스트데일리 무단전재 및 재배포 금지