금융 보안관련 인증절차로 사칭해 금융정보 탈취

과도한 금융정보 요구하면 100% 피싱 사이트!

[보안뉴스 김태형] 최근 금융기관을 사칭해 금융정보를 빼가는 악성파일이나 피싱사이트가 기승을 부리고 있는 가운데 보안인증을 사칭한 전자금융사기를 위한 악성파일 변종이 발견되어 이용자들의 주의가 필요하다.

보안 전문기업 잉카인터넷(대표 주영흠, www.nprotect.com)은 17일 ISARC 대응팀을 통해 금융 보안관련 인증절차를 사칭한 전자금융사기용 악성파일의 새로운 변종이 발견됐다고 밝혔다.

                ▲ 보안관련 인증절차 가짜 팝업

이번에 발견된 악성파일의 유포방법은 종전과 비슷하게 국내 특정 웹사이트를 통해 악성파일(KRBanker)에 감염되도록 제작되었으며 악성파일에 감염되면 이용자의 호스트파일(hosts)을 변조시켜 국내 유명 뱅킹 사이트에 접속하더라도 특정 피싱 IP주소로 몰래 변경시켜 조작된 가짜 금융사이트 화면이 보이게 된다.

하지만 인터넷뱅킹 이용자들의 예금탈취를 노린 악성파일(KRBanker)의 공격 형태는 점점 더 진화하고 있다. 과거의 전자금융사기용 악성파일은 보안승급서비스, 보안강화서비스, 전자금융사기예방서비스 등으로 위장해 개인정보를 탈취하는 형태였으나 이번 발견된 사례는 전자금융사기가 기승을 부리고 있다는 점을 역이용해서 마치 금융 보안관련 인증절차 진행인 것처럼 사칭한 문구와 금융 보안 프로그램 설치 내용으로 이용자의 정보탈취를 유도하고 있다.

악성파일에 감염된 상태에서 국내 뱅킹 사이트에 접속할 경우 ‘보안관련 인증절차’라는 사용자를 현혹시키는 가짜 팝업 메시지 창이 출력되며 확인버튼 클릭 시 사용자 본인 확인절차라는 명목으로 과도하게 많은 금융정보와 보안카드의 모든 비밀번호 입력을 유도한다.

또한, 보안프로그램처럼 모방해 추가 악성파일(KRBanker/Backdoor)의 설치를 통해 공인인증서 탈취를 시도했을 것으로 추정된다.

                   ▲ 통합설치프로그램 다운로드를 통한 추가 악성파일 설치

잉카인터넷 문종현 팀장은 “2013년엔 전자금융사기용 악성파일(KRBanker) 변종이 더욱 더 기승을 부릴 전망이며 기술적으로도 진화를 거듭할 것으로 예상된다. 최근 안드로이드 악성앱을 이용한 스마트 뱅킹을 통한 피싱 사례도 지속적으로 발견되고 있는 만큼 인터넷 뱅킹 이용자들은 보안카드의 번호를 직접 입력하거나 외부에 노출되지 않도록 각별한 주의를 기울여야 할 것으로 보인다”라고 밝혔다.

잉카인터넷 nProtect Anti-Virus/Spyware3.0 정식 서비스 제품에는 다음과 같이 이번에 발견 보고된 악성코드 파일들을 진단하고 있다.

-Trojan/W32.KRBanker.48016

-Trojan/W32.KRBanker.50489

-Trojan/W32.KRBanker.50521

-Trojan/W32.KRBanker.50552

-Trojan/W32.KRBanker.51712

-Trojan/W32.KRBanker.54272

-Trojan/W32.KRBanker.54272.B

-Trojan/W32.KRBanker.54784

한편 잉카인터넷 ISARC는 신규 보안취약점과 관련한 자료 수집 및 모니터링을 지속적으로 진행하고 있으며 새로운 악성파일이 발견되면 신속하게 업데이트 서비스를 제공하고 있다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>