2012년 6월부터 국내 전자금융사기용 악성파일 변종 꾸준히 발견

[보안뉴스 권 준] 최근 가짜 메시지 안내 창을 출력하여 사용자들에게 즉시 인터넷뱅킹으로 접속하도록 유도하는 새로운 형태의 악성파일(KRBanker)이 발견돼 주의가 요구된다. 

이는 19일 보안전문기업 잉카인터넷(대표 주영흠, www.nprotect.com)이 자사의 ISARC 대응팀을 통해 밝힌 데 따른 것이다.

2012년 6월 초부터 국내 전자금융사기용 악성파일의 변종이 꾸준히 발견되고 있는 가운데, 이번에 발견된 악성파일에 감염되면 사용자가 국내 인터넷뱅킹 사이트에 접속하고 있지 않아도 ‘전자금융사기 예방서비스 시행안내’ 메시지창을 출력하여 인터넷뱅킹 사이트로 접속을 유도한다.

이는 KRBanker 악성파일이 사용하는 피싱 도메인이 신속하게 차단되자, 공격자들은 악성파일에 감염된 사용자가 피싱사이트 차단조치 이전 시점에 즉시 피싱사이트로 접속하도록 미끼를 사용하는 방식으로 진화했다고 분석할 수 있다.

사용자 컴퓨터에 설치된 악성파일은 국내 주요 인터넷뱅킹 사용자들이 정상사이트에 접속 시도 시 악의적인 사이트로 연결되도록 만들고, 가짜 공인인증서 입력창을 출력해 사용자의 금융관련 정보를 고의적으로 입력하도록 유도하는 피싱 또는 파밍 기법을 사용한다.

종전에도 인터넷뱅킹 사용자들을 공격대상으로 한 악성파일은 호스트(hosts) 파일 이용, C&C 서버를 통한 신규 피싱사이트로 자동업데이트 등의 변조를 통해 꾸준하게 등장하고 있었다.

그러나 이번에 발견된 악성파일은 ‘전자금융사기 예방서비스 시행안내’라는 가짜 메시지 창을 사용자 컴퓨터에 강제로 출력시켜 최근에 이런 보안위협이 증가하고 있다는 것을 역이용하고 사람의 심리를 교묘하게 이용하는 기법으로, 불특정 다수의 이용자들에게 유포되며, 아무런 경고도 없이 실행되어 그 피해가 더 심각할 것으로 예상된다.

잉카인터넷 ISARC 대응팀 문종현 팀장은 “악성파일(KRBanker)을 조직적으로 유포 시도하는 사이버 범죄자들은 짧은 시간에 많은 사용자들에게 악성파일을 설치하고 있다. 그들은 존재하지 않는 보안승급이나 보안강화라는 금융서비스로 위장하여 과도한 개인 금융정보를 입력하도록 유도해 탈취를 시도하고 있다”고 밝혔다.

덧붙여 그는 “이를 통해 최종적으로 이용자의 소중한 예금을 불법으로 편취해 나가는 것이 가장 주된 목적 중에 하나다. 이런 만큼 고도의 다중 공격수법을 활용하는 것이 일반적이고, 최신 보안 취약점과 불법적인 해킹 등을 결합하여 사용한다”며, “이미 널리 알려져 있는 대표적인 보안취약점을 모두 업데이트하고, 항시 최신 버전의 백신을 설치해야 하며, 실시간 감시는 반드시 활성화하는 등 사용자 스스로의 능동적인 노력이 필요하다”고 강조했다.

잉카인터넷 nProtect Anti-Virus/Spyware3.0 정식 서비스 제품에서는 이번에 발견된 악성코드 파일들을 다음과 같이 진단하고 있다.

Trojan/W32.KRBanker.910848

Trojan/W32.KRBanker.1994752 외 변종 다수

한편, 잉카인터넷 ISARC는 신규 보안취약점과 관련한 자료수집 및 모니터링을 지속적으로 진행하고 있으며, 새로운 악성파일이 발견되면 신속하게 업데이트 서비스를 제공하고 있다.

[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>