개발 폴더서 인터넷뱅킹 악성코드 개발 흔적 지속적으로 나타나

[보안뉴스 오병민] 중국에서 국내 인터넷뱅킹을 노린 악성코드가 조직적으로 제작되고 있는 구체적인 정황이 포착됐다. 중국 해커들이 악성코드를 개발할 때 이용된 폴더 중에 국내 인터넷뱅킹 대상 악성코드를 별도로 관리하던 폴더가 포함돼 있었던 것. 이런 정황은 국내 보안업계가 작년 하반기에 수집된 악성코드 샘플을 분석하는 과정에서 발견됐다.

국내 보안업계에 따르면, 최근 금융권 관련 악성코드 샘플을 추적하던 중 작년에 한차례 발견되었던 국내 인터넷뱅킹을 타깃으로 한 악성코드의 변종이 지속적으로 개발되고 있는 흔적을 찾은 것으로 알려졌다.

악성코드를 개발한 후 실행 파일을 만들 때 개발 경로가 포함되는 경우가 있는데, 개발 경로에 국내 인터넷뱅킹을 노린 악성코드 폴더가 남아있었던 것. 이는 개발자가 개발경로를 삭제하지 않고 실행파일을 만들어 흔적이 남은 것으로 파악되고 있다.

 

작년 중순에 발견된 일부 악성코드에서도 이처럼 개발경로가 포함된 경우가 있었다. 그런데 이번에는 백신을 우회하기 위한 실행압축 기능이 추가되고 인터넷뱅킹을 노린 새로운 기능들이 추가돼 국내 인터넷뱅킹을 직접 타깃으로 했다는 구체적인 정황으로 분석되고 있다.

이 악성코드는 감염된 PC가 인터넷뱅킹에 접속하거나 공인인증서를 호출하면 해당 PC의 MAC 정보와 키입력 정보를 FTP를 통해 특정서버로 전송하는 기능을 가지고 있다. 따라서 해당 악성코드가 실제 인터넷뱅킹 해킹 공격에 이용됐을 가능성이 있는지 금융권과 이용자를 대상으로 조사해볼 필요가 있을 것으로 보인다. 실제 공격이 진행됐다면 기존 인터넷뱅킹과 보안 솔루션에 대한 보안강화가 필요하기 때문이다.

최상명 하우리 선행기술팀장은 “샘플에 포함된 정보로 본다면 공격자는 국내 인터넷뱅킹에 대한 분석을 통해 실제 공격이 가능한 악성코드를 제작하고 있는 것으로 보인다”면서 “이처럼 공격자들이 국내 인터넷뱅킹을 별도로 관리해 악성코드를 개발하고 있다면 기존 인터넷뱅킹과 보안 솔루션에 대한 분석이 끝났을 가능성이 높기 때문에 해당 악성코드를 상세 분석해 금융권 공격을 방지할 수 있는 보다 실질적인 대응이 필요해 보인다”고 말했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>