[보안뉴스 권 준] 국내 인터넷 뱅킹 이용자를 노린 악성파일 ‘KRBanker’ 변종이 최근 들어 다양한 형태로 진화하고 있다.

잉카인터넷 대응팀(http://erteam.nprotect.com/)에 따르면 이번에 발견된 KRBanker 변종 악성파일의 경우 델파이 프로그램 개발자들이 주로 사용하는 라이브러리만을 감염시키는 ‘Induc’ 바이러스에 중복으로 감염된 채 배포된 것으로 드러났다.

이로 인해 악성파일 제작자는 이미 ‘Induc’ 바이러스에 감염된 상태에서 악성파일을 제작한 것으로 보이지만, 이미 오래전에 알려진 바이러스이므로 KRBanker 변종 제작자가 고의적으로 바이러스를 포함했을 가능성은 희박하다는 게 잉카인터넷 측의 분석이다. 

이번에 발견된 악성파일과 관련해 잉카인터넷 대응팀의 문종현 팀장은 “이번 악성코드에 있어 가장 큰 변화는 시스템 하위 폴더에 비정상적인 폴더를 생성해서 일반 사용자가 쉽게 접근하지 못하도록 함으로써 악성파일 제거 및 대응을 방해하는 방식을 새롭게 도입했다는 점”이라며, “이처럼 전자금융사기용 악성파일들이 꾸준히 지능화되어 가고 있고, 변종도 수시로 제작·유포되고 있는 실정이라 이용자들의 각별한 주의가 필요하다”고 당부했다.

국내 인터넷 뱅킹용 악성파일 ‘KRBanker’은 올해 하반기에 들어오면서 변종이 급격히 증가하고 있는 것으로 알려졌다. 여러 가지 수법이 동원되어 유포 중에 있으며, 그중 웹 사이트를 변조하고 각종 보안취약점을 이용해서 불특정 다수를 감염대상으로 하는 방식이 성행하고 있다는 것.

이번에 발견된 악성파일은 일본의 특정 도메인에 악성파일이 몰래 숨겨져 있었는데, 다수의 국내 사이트들을 대상으로 유포됐고, 악성파일은 마치 음악파일인 mp3 파일처럼 확장자를 조작해서 변종을 추가 배포하려고 시도하기도 했다는 게 잉카인터넷 대응팀 측의 설명이다. 

hxxp://210.(생략).32:2323/qq.exe

hxxp://210.(생략).32/temp/q/m.mp3 등외 다수

특히, 악성파일은 추가 변종을 다운로드할 수 있도록 제작되어 있으며, 국내 유명 무료 백신 제품들의 실행을 방해하는 것으로 나타나 더욱 주의가 요구되고 있다. 더욱이 악성파일에 감염된 상태에서 안랩(ahblab.com) 홈페이지에 접속을 시도할 경우 안랩 보안제품의 설치 및 다운로드 등을 방해하기 위해 아래와 같은 일본의 정치관련 사이트(http://special.jimin.jp/)로 리다이렉션시키는 것으로 드러났다.

악성파일은 보안 서비스를 방해하고, 국내 인터넷 뱅킹 사이트접속시 피싱사이트로 연결되도록 사용자의 인터넷 접속 현황을 감시하게 되는데, 감시 대상으로는 농협, 국민은행, 우리은행, 기업은행 등이 포함되어 있다는 게 잉카인터넷 대응팀 측의 설명이다.

이렇듯 악성파일에 감염된 상태에서 인터넷뱅킹 사이트에 접속할 경우 브라우저상의 도메인은 실제 사이트와 동일하지만 악성파일에 의해서 접속되는 사이트는 다음과 같이 변경된다.

잉카인터넷 대응팀의 문종현 팀장은 “인터넷 뱅킹용 악성파일이 나날이 지능화되고 정교화되면서 단순히 인터넷 뱅킹 도메인만으로 정상 사이트라고 쉽게 단정하거나 신뢰하지 않도록 각별히 주의해야 한다”며, “더욱이 최근에는 원격제어(Remote Control) 기능을 가진 Backdoor 유형의 악성파일도 함께 배포되는 사례가 많아 공격자가 개인정보와 금융관련 정보를 실시간으로 탈취하고 외부로 유출시킬 위험성도 커지고 있다”고 밝혔다.

덧붙여 그는 “가짜 인터넷 뱅킹 사이트는 보통 사용자의 개인정보를 과도하게 입력하도록 요구하는 것이 공통점이므로, 평상시와 다르게 요구하는 정보가 많아지거나 하면 개인정보 입력을 중단하고 관계 금융기관 등에 문의를 해보는 습관이 필요하다”며, “더불어 공인인증서 파일은 USB 이동 디스크 등에 별도로 암호화해 보관하고, 보안카드 전체 번호는 절대로 모두 입력하거나 이미지로 저장하여 별도로 보관하지 않도록 주의해야 한다”고 강조했다.

[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>