폼 그래빙 기법으로 금융 정보 탈취

[보안뉴스 호애진] 최근 트로이목마형 악성코드 ‘스파이아이’가 구글 크롬과 오페라 웹 브라우저를 타깃으로 하고 있는 것으로 나타나 해당 브라우저 사용자들의 각별한 주의가 필요하다.

미국 보안 전문 블로거인 브라이언 크렙스(Brian Krebs)는 스파이아이의 최신 버전에 구글 크롬과 오페라 웹 브라우저를 쓰는 사용자들의 인터넷뱅킹 정보 등 민감한 정보를 탈취하는 새로운 기능을 발견했다고 최근 밝혔다.

크렙스는 스파이아이의 최신버전을 구매한 이들과 만나 스파이아이의 기능을 살펴볼 수 있었다. 그는 “패키지에서 뽑아낸 스크린샷을 보면 최신 버전에 크롬과 오페라 사용자를 타깃으로 한 ‘폼 그래빙(Form Grabbing)’ 기능이 옵션으로 들어 있다는 것을 확인할 수 있었다”고 전했다.

폼 그래빙은 공격자가 지정한 웹 사이트를 악성코드에 감염된 PC 사용자가 접속하게 될 경우 해당 웹 페이지에 추가적으로 사용자 입력 폼(Form)을 생성해 그곳에 입력되는 사용자 입력 키보드 값을 가로채 사용자 계정과 암호를 C&C 서버로 전송시키는 기법이다.

크렙스는 “스파이아이가 익스플로러와 파이어폭스 사용자를 타깃으로 한 폼 그래빙 기능을 갖추고 있다는 것은 알았지만 크롬과 오페라 사용자를 타깃으로 이 기능을 보유한 경우는 처음 접했다“고 밝혔다.

즉 기존에는 스파이아이가 익스플로러와 파이어폭스가 사용하는 ‘동적 링크 라이브러리’, 즉 DLL 파일을 대상으로만 공격을 했는데, 이 두 브라우저와 다른 DLL 파일을 사용하는 크롬과 오페라도 공격하고 있다는 것이다.

문제는 많은 사람들이 크롬과 오페라를 쓸 때 더 안전하다는 생각을 갖고 있다는 점이다. 두 브라우저가 시장 점유율이 낮기 때문에 사이버 범죄의 대상이 되는 경우는 상대적으로 적을 것이라 믿기 때문이다.

보안업체 한 관계자는 “스파이아이와 같은 온라인 뱅킹 관련 악성코드의 추가적인 버전들이  꾸준히 등장하고 있어 금융 정보 탈취에 대한 우려가 커지고 있다”며 “어느 브라우저를 쓰던 PC 사용자들은 자신이 사용하는 시스템에 대한 보안을 철저히 해야 할 것”이라고 밝혔다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>