미(美) RSA는 지난 주 자사 연구자들이 시노월(Sinowal) 트로잔에 의해 탈취된 금융 데이터의 캐시를 발견했다고 보고했다. RSA 연구자들은 대략 30만 개에 달하는 온라인 뱅킹 계좌뿐만 아니라 그와 비슷한 수의 신용 및 직불 계좌 번호와 해당 개인 정보가 시노월 트로잔으로 해킹당한 것으로 추정하고 있다.

시노월은 일단 다운로드 되면 HTML 인젝션 기능을 이용해 새로운 웹 페이지나 정보 필드를 피해자의 우베 브라우저에 인젝트한다. 만일 어떤 사용자가 2천 700개의 금융 서비스 도메인에 방문하려고 하면 가짜 사이트가 대신 나타나 사용자에게 로그인 또는 금융 정보를 입력하게 한다. 탐지된 변종은 윈도우 2000, XP, 비스타, 윈도우 서버 2003을 타깃으로 하고 있는 것으로 알려졌다.

토피그(Torpig), 또는 미브루트(Mebroot)로도 알려진 시노월은 마스터 부트 레코드엥 영향을 끼치는 루트킷을 가지고 있다. 문제는 이 트로잔은 수많은 변종을 갖고 있다는 것.

그나마 일부는 시만텍이나 맥아피 등과 같은 기존의 안티 바이러스 업체들에 의해 탐지되지만 대다수 변종에 대해서는 보안 업체들이 그 최신 변종을 추적하는데 어려움을 겪고 있는 것으로 알려졌다.

특히 RSA는 지난 6개월 간, 매달 최소 60여개의 변종을 확인했다고 밝혔다. 그 중 지난 10월 21일 경에 확인된 최근 변종을 탐지한 보안 업체는 35개 정도에 불과했다는 것이 RSA의 설명이다.

이와 관련해 사용자들이 기본적으로 할 수 있는 최선의 대응책에 대해 RSA는 “안티바이러스 솔루션을 최신 버전으로 유지하고 시스템 전체 스캔을 하는 것”이라면서도 “그러나 시노월 트로잔은 탐지를 피하기 위해 루트킷 기술을 사용하고 있기 때문에 로컬로 설치 되고나면 탐지하기가 어렵다”고 덧붙였다.

[김동빈 기자(foregin@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>