• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

금융정보 탈취목적 피싱·악성코드...올해 초부터 ‘기승’ 2013.01.17

스미싱 급증...체스트, KRSpammer, Citadel 등 악성코드도 극성 


[보안뉴스 김태형] 지난해 금융기관을 사칭한 피싱사고와 악성코드 공격이 기승을 부렸다. 이러한 금융정보를 노리는 보안위협은 올해 초에도 여전히 극성을 부리고 있다  .


한국인터넷진흥원(KISA) 침해사고대응센터 침해사고대응단 전길수 팀장은 “지난해 국내 주요 보안위협은 APT공격과 금융기관 사칭 피싱, 모바일 보안위협의 현실화, 악성코드 유포, 정치·사회적 관심 이용한 공격 등이었다”면서 “특히, 금융기관을 사칭한 피싱과 모바일 금융보안을 위협하는 악성코드가 기승을 부렸다”고 설명했다.


지난해 국내 금융기관을 사칭한 피싱사고가 급증했는데 이는 ‘SMS+Phishing’이 합쳐진 말로 ‘스미싱’이라고도 한다. 전길수 팀장은 “2011년에는 검찰이나 경찰, 금감원 등의 공공기관을 사칭한 사건이 많았으나 지난해에는 은행을 사칭한 사건이 3,968건이나 발생했다”고 설명했다.


이렇게 금융기관을 사칭한 피싱은 지난해부터 급증했고 올해도 지속적으로 이어지고 있다. 특히, 금융기관인 농협, 우리은행, 국민은행을 비롯해 한국예탁결제원, 전자금융자산예방서비스와 같은 공공기관, 그리고 파리바게뜨와 같은 유명 프랜차이즈 외식업체 등을 사칭한 피싱이나 피싱을 유도하는 악성코드가 기승을 부리고 있어 이용자들의 주의가 요구된다.


또한, 스마트폰 소액결제를 노린 안드로이드 악성코드에 의한 피해도 지속적으로 이어지고 있다.


우선 지난해 11월 국내 첫 금전적 피해를 발생시켰던 안드로이드 악성코드 ‘체스트(chest)’가 발견된 이후, 동일 악성코드 및 변종에 의한 소액결제 피해가 지속적으로 발생하고 있다. 지금까지 발견된 유사 악성코드는 10여 개에 이르며 변종 악성코드가 계속 발견되고 있다.


기존 악성코드는 대부분 불특정 다수를 대상으로 하고 개인정보 탈취가 주 목적이었다면  ‘체스트(chest)’는 과거 발생한 대량의 개인정보유출 사고를 통해 유출된 개인정보 중 주민번호와 전화번호를 이용해 특정한 공격대상을 정한다는 점에서 기존 악성코드보다 진보된 형태다.


그리고 지난해 11월부터 약 30만원 규모의 결제피해를 입히는 안드로이드 기반의 악성파일 ‘KRSpammer’이 최근까지 지속적으로 발견되고 있으며 현재까지 약 20여종 이상의 변종이 발견됐다.


이 악성파일은 외식업체 등 잘 알려진 국내 브랜드의 할인이나 무료쿠폰 등의 문자메시지(SMS) 형식으로 전파되며, 문자에 포함되어 있는 단축 URL 주소를 클릭하도록 유도한 후, 사용자들로 하여금 악성 안드로이드 앱을 설치하도록 한다.


그리고 지난해말에 발견된 강력한 금융정보 탈취 악성코드인 ‘Citadel’은 세계적으로 큰 피해를 일으켰던 금융정보 탈취형 악성코드인 제우스(Zeus)와 스파이아이(Spyeye)의 뒤를 잇는 강력한 악성코드인 것으로 분석됐다.


또한, 모바일 뱅킹 정보를 탈취하는 안드로이드 악성코드 ‘Citmo’는 특정 은행에서 제작한 사용자 인증을 위한 앱으로 위장하고 있다. Citmo는 모바일 뱅킹 과정에서 감염된 스마트폰 사용자가 은행으로부터 수신한 모바일 뱅킹을 위한 인증번호를 입력하면 해당 인증 번호를 유출하게 된다.

 

이러한 악성코드들은 모두 이용자의 모바일 뱅킹 정보를 노리거나 이용자 몰래 소액결제 피해를 입히는 악성코드로 지난해 말부터 올 초까지 발견된 대표적 악성코드이다.

이와 관련 잉카인터넷 ISARC 대응팀 문종현 팀장은 “금융정보를 탈취하는 악성코드나 피싱은 공격자들에게는 금전적 이익이 되기 때문에 계속 시도되고 어느 정도 효과를 보고 있기 때문에 이러한 공격은 지속적으로 증가하고 있다”면서 “공격자들은 지속적인 공격시도를 통해 예금이 많은 피해자를 공격해 성공한다면 아주 큰 금액도 탈취할 수 있다”고 설명했다.


덧붙여 그는 “이러한 상황에서 공격자들에게 피싱은 하나의 사업 모델로 알려져 피싱 사이트를 만들어 이를 판매하는 조직이 있고 악성코드를 제작해 유포하는 조직 등으로 나누어져 움직이고 있다”면서 “향후에는 더욱 다양한 형태의 악성코드가 제작·유포되는 환경이 만들어질 것이며 지금도 새로운 악성코드가 계속 쏟아져 나오고 있어 금융정보를 노리고 있다”고 덧붙였다.


이러한 금융정보 탈취를 위한 피싱이나 악성코드에 대응하기 위해서 일반 사용자들은 이러한 악성코드와 피싱 사이트의 존재에 대해 인지하고 있어야 한다. 또한, 가짜 사이트는 사용자의 개인정보 탈취가 목적이기 때문에 평소와 다르게 개인정보를 과도하게 요구하고 있기 때문에 이러한 사이트는 의심하고 확인할 필요가 있다.


문 팀장은 “피싱사이트는 정교하게 만들어져 있어 일반 이용자들이 혼돈할 수 있다. 하지만 과도한 개인정보의 요구나 은행 보안카드의 모든 비밀번호를 입력하라고 한다면 100% 피싱사이트라고 판단하고, 즉시 관계기관에 신고해야 한다”고 강조했다.

[김태형 기자(boan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>