러시아 연계 UAC-0050, RMS 악성코드로 유럽 금융권 사이버 스파이 활동 확대

러시아 연계 UAC-0050, 유럽 금융권 표적 공격 확인

러시아와 연계된 위협 행위자 UAC-0050이 유럽 금융기관을 대상으로 사회공학적 공격을 통해 정보 수집 또는 금전 탈취를 시도한 것으로 확인됐다. 이번 공격은 우크라이나 외부로 활동 범위를 확대한 것으로 보이며, 전쟁으로 피해를 입은 우크라이나를 지원하는 기관을 집중적으로 노린 것으로 분석된다.

주요 공격 개요

• 위협 행위자: UAC-0050 (러시아 연계)
• 공격 대상: 익명의 유럽 금융기관
• 공격 수법: 스푸핑 도메인 및 RMS(Remote Manipulator System) 악성코드
• 목적: 사이버 스파이 활동 또는 금전 탈취 가능성 높음
• 지정학적 맥락: 우크라이나 중심 공격에서 유럽 전역으로 확대

기술적 분석

이전 우크라이나 기관을 주로 공격했던 UAC-0050은 이번 공격에서 RMS 악성코드를 활용했다. RMS는 본래 원격 관리 도구로 개발되었으나 악의적인 목적으로 재활용된 사례다. 공격자는 스푸핑 도메인을 통해 피해자가 악성코드를 실행하도록 유도했으며, 이를 통해 감염 시스템에 지속적인 접근 권한을 확보했다.

정확한 감염 경로는 공개되지 않았지만, 피싱 이메일이나 가짜 웹사이트와 같은 사회공학적 기법이 사용된 것으로 추정된다. RMS 악성코드는 공격자에게 다음과 같은 기능을 제공한다:

• 감염 시스템에 대한 원격 제어
• 데이터 유출 기능
• 탐지 회피를 위한 지속성 메커니즘

영향 및 전략적 시사점

유럽 금융기관을 대상으로 한 이번 공격은 UAC-0050이 작전 범위를 확대하고 있음을 시사한다. 이는 지정학적 상황 변화에 따른 대응으로 해석될 수 있으며, 금융기관은 다음과 같은 이유로 공격자들의 주요 표적이 된다:

• 정보 수집 (예: 거래 모니터링)
• 직접적인 금전 탈취 (예: 부정 송금)
• 공급망 교란 (예: 결제 시스템 공격)

방어 권고 사항

금융기관 보안 담당자는 다음 조치를 취해야 한다:

1. 유사 도메인 모니터링: 합법적인 서비스와 유사한 스푸핑 도메인을 탐지하고 차단한다.
2. RMS 등 원격 관리 도구 제한: 업무상 반드시 필요한 경우가 아니면 RMS 및 유사 도구의 사용을 제한한다.
3. 피싱 인식 교육 강화: 사회공학적 공격 위험을 완화하기 위한 피싱 인식 교육을 정기적으로 실시한다.
4. EDR/XDR 솔루션 도입: 비정상적인 원격 접근 활동을 탐지할 수 있는 EDR/XDR 솔루션을 배포한다.
5. 위협 탐지 수행: UAC-0050과 관련된 **침해 지표(IoC)**를 기반으로 위협 탐지를 수행한다.

이번 공격은 금전적 동기와 국가 지원 행위자가 중요한 인프라를 공격하는 위협 환경의 변화를 보여준다.