인터넷 뱅킹 시 피싱사이트로 유도하는 악성코드 변종 계속 발견

사용자 정보 입력 유도하는 보안승급 서비스에 속지 말아야  

[보안뉴스 권 준] 국내 불특정 다수의 인터넷 이용자를 겨냥한 금융정보 및 예금탈취 목적의 악성파일이 끊임없이 기승을 부리고 있어 주의가 요구된다.

잉카인터넷 대응팀은 현재 악성파일은 변종이 지속적으로 유포되고 있는 상황으로 감염될 경우 국내 인터넷 뱅킹 사이트 접속시 교묘하게 제작된 허위사이트로 접속되므로 인터넷뱅킹 사용자들의 각별한 주의를 당부했다.

특히, 허위사이트로 접속될 경우 실제로 존재하지 않는 보안승급서비스를 통해 공인인증서 유출과 금융정보 입력을 유도함으로써 국내 시중은행 사용자들의 계좌정보 탈취를 시도한다는 것. 이렇게 유출된 개인 금융정보는 악의적 해커들에 의해서 불법적 금융계좌 접근으로 시도되고, 경우에 따라서 예금인출 피해로 확대될 수 있다는 게 잉카인터넷 대응팀 측의 설명이다. 

이러한 인터넷 뱅킹에서의 보안위협은 지난 6월초에 처음으로 공식 보고된 이후, 2달 넘게 끊임없이 변종이 제작·유포되는 것으로 알려졌다. 더욱이 지난 주말에 수십여 개 이상의 웹사이트가 해킹돼 보안취약점 등을 통해서 집중 유포됐다는 점에서 다수의 감염피해가 발생했을 것으로 잉카인터넷 대응팀 측은 예상하고 있다.

악의적 공격자들은 좀더 많은 사용자들에게 악성파일을 감염시키기 위해서 다각적인 수법을 이용하고 있는 것으로 알려졌다. 대표적으로 웹하드나 토렌트와 같은 파일공유 사이트의 정상프로그램이나 동영상 재생용 프로그램 등을 불법적으로 해킹하고 위·변조해 악성파일을 몰래 추가시키거나 웹사이트의 보안취약점을 이용하여 해킹된 사이트에 보안이 취약한 사용자가 접속시 자동으로 악성파일이 설치되도록 하는 수법 등이 발견되고 있는 상황이다.

잉카인터넷 대응팀의 집중 보안관제에 의하면 8월 18일 토요일 새벽 즉, 주말이 시작되는 시점부터 국내 수십여 개 이상의 웹사이트가 해킹되어 변형된 악성파일이 전파시도 중인 정황을 포착해 긴급대응이 진행된 것으로 알려졌다.

지난 주말 기간 불특정 다수의 국내 웹사이트가 해킹되어 악의적인 스크립트 코드가 포함됐고, 보안이 취약한 사용자가 접속할 경우 악성파일에 자동으로 감염되지만 대부분의 이용자들은 자신이 감염된 사실 자체를 인지하기 어렵다는 것.

잉카인터넷 대응팀 조사로 파악된 바에 의하면 여행사, 신문사, 교회, 카메라 판매사이트, 고등학교 총동문회 등 국내 다수의 웹 사이트를 통해서 악성파일이 전파 중이며, 공격자는 지속적으로 유포범위를 확대시키고 있는 상태로 알려졌다. 대표적인 방법으로 실제 유포 중인 사례로, 아래 화면은 접속시 악성파일이 설치되는 국내 모 고등학교 총동문회 사이트이다.

악성코드가 실제 유포되고 있는 국내 모 고등학교 총동문회 사이트(출처 : 잉카인터넷 대응팀)

이 사이트의 경우 불법적으로 해킹되어 아래와 같이 아이프레임(iframe src) 명령어가 포함된 것을 확인할 수 있고, 해당 사이트를 통해서 또 다른 중개지로 연결된다.

불법 해킹되어 아이프레임(iframe src) 명령어가 포함된 것을 확인할 수 있다(출처 : 잉카인터넷 대응팀).

아이프레임으로 연결된 웹 사이트에는 Flash Player 프로그램과 JAVA 취약점 등을 이용하는 난독화된 Exploit Code 파일을 포함하고 있으며, 사용자가 보안취약점을 가지고 있는 경우 악성파일에 자동으로 감염된다는 것. 

암호화로 난독화된 JSXX 0.44 VIP Exploit 스크립트 기법은 중국에서 제작된 것으로 Dadong 이라고도 알려져 있는데, 이것은 중국어로 공격을 의미하는 Gondad 를 거꾸로 표기한 것으로 알려졌다.

악성 스크립트가 정상적으로 작동되고, 보안취약점이 실행되면 특정 사이트에 등록되어 있는 악성파일이 다운로드되고 실행된다. 그 다음에 윈도우 임시폴더(Temp) 경로에 다음과 같은 악성파일을 생성한다.

- adobe_update.exe - ncsoft.exe - NEWCONFIG.INI

더불어 호스트(hosts) 파일을 수정하여 국내 인터넷뱅킹 사이트 접속시 피싱용 사이트로 접속되도록 IP 주소를 변경하는데, 현재 IP 주소는 계속해서 변경된 변종이 제작되어 유포 중에 있는 것으로 보인다.

·66.85.186.45 - 피싱(파밍)용 IP 주소 (변종에 따라 계속 변경되고 있음) ·www.kbstar.com - 국민은행 ·banking.nonghyup.com - 농협 ·banking.shinhan.com - 신한은행 ·www.wooribank.com - 우리은행 ·www.ibk.co.kr - 기업은행 ·mybank.ibk.co.kr - 기업은행 ·www.epostbank.go.kr - 우체국예금 ·ibs.kfcc.co.kr - 새마을금고 ·www.hanabank.com - 하나은행 ·bank.keb.co.kr - 외환은행

 

악성파일에 감염되어 호스트파일(hosts)이 변경된 상태에서는 정상적인 인터넷뱅킹 웹사이트 주소(도메인)로 접속해도 브라우저는 가짜 웹 사이트 IP 주소로 접속을 하게 된다. 하지만 사용자에게 보여지는 도메인 주소는 정상적인 웹사이트 주소와 동일하기 때문에 육안 상으로 쉽게 악성여부를 판별하기는 거의 불가능에 가깝다는 게 잉카인터넷 대응팀의 설명이다.

이와 관련 잉카인터넷 대응팀 관계자는 “대부분의 가짜 웹사이트에서는 실제 존재하지 않는 ‘보안승급서비스’라는 이름 아래 사용자 정보입력을 유도하게 된다”며, “정상적인 인터넷 뱅킹 사이트에서는 어떤 이유로든 사용자의 중요 개인정보를 모두 입력하도록 유도하지 않으므로 이점을 유념해야 하고, 특히 보안승급서비스는 모두 가짜라는 점을 잊지 말아야 한다”고 강조했다.

[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>