트러스티어, 타깃 정보만을 실시간으로 전송하는 악성코드 발견

[보안뉴스 호애진] 사이버 범죄자들은 맨 인 더 브라우저(MiTB, Man in the Browser) 공격을 통해 사용자들의 개인정보를 탈취한다. 최근 보다 진화된 MiTB 공격을 가능케 하는 신종 악성코드가 발견됐다.

기존 MiTB 공격에선 공격자가 대량의 구조화되지 않은 로그를 C&C 서버로 보내는 방식이었다. 하지만 최근 공격자가 타깃으로 하는 정보의 로그만을 선별할 수 있는 기능을 갖춘 신종 악성코드가 발견됐다고 미국 보안업체인 트러스티어가 3일(현지시각) 밝혔다.

기존 MiTB 공격에서 악성코드는 특정 웹사이트, 예를 들어 금융 사이트나 인터넷 쇼핑 사이트에 입력된 모든 데이터를 수집해 일정 기간이 지나면 공격자의 C&C 서버로 대량의 로그 파일을 보낸다. 이에 공격자는 개인정보 혹은 금융정보가 들어 있는 로그를 일일히 찾거나 파싱(구문분석) 하는 툴을 써야 하는 등 추가적인 작업이 요구된다. 이러한 이유로 언더그라운드 마켓에서 대량의 로그 파일을 통째로 파는 일도 발생한다.

그러나 신종 악성코드는 사용자의 웹활동을 수집하고, 미리 정의된 구성(Configuration)을 통해 신용카드나 사회보장번호(Social Security Number)와 같은 특정 정보만을 찾아 이를 공격자에게 실시간으로 전송한다. 이에 사용자는 자신의 정보가 탈취됐다는 사실을 뒤늦게 알게 된다.

트러스티어의 선임 보안전략가인 조지 터빈(George Tubin)은 “기존 악성코드는 은행 사이트와 같이 특정 사이트에서만 동작했으나 신종 악성코드는 사용자가 방문하는 어떤 사이트에서도 민감한 정보만을 찾아 공격자에게 보낸다”면서 “이는 실시간으로 이뤄지기 때문에 사이버 범죄자에게는 매우 효과적”이라고 설명했다.

감염은 해당 공격과 함께 드라이브 바이 다운로드, 피싱 등을 통해 이뤄지며, 공격자들은 자신의 서버에 이러한 구성을 업로드하거나, 이미 널리 유포된 기존 악성코드에 업데이트할 수 있어 문제가 된다. 특히, 제우스와 같은 악성코드는 MiTB 공격을 통해 사용자 몰래 정보를 탈취하거나 해당 계좌에서 돈을 빼내는 데 쓰이는 것으로 유명하다.

터빈은 “앞으로 이러한 악성코드가 보다 발전된 형태로 나타나게 될 것이고, 공격자들은 이를 통해 원하는 정보를 쉽게 구할 수 있을 것”이라면서 “이는 사이버 범죄자들에게 새로운 수익 모델로서의 가능성을 열어줬다”고 우려를 나타냈다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>