포커 에이전트, 훔친 계정 정보 통해 로그인 후 결제 정보 검색

[보안뉴스 호애진] 1만6천여개의 페이스북 계정정보가 한 악성코드를 통해 탈취된 것으로 드러났다.

포커 에이전트(PokerAgent)라는 악성코드는 1년전 이스라엘에서 처음 발견됐다.

 

이는 인기있는 온라인 포커 게임인 징가(Zynga) 포커를 플레이하는 페이스북 사용자의 결제 정보를 빼내기 위해 개발됐다.

보안업체 ESET가 포커 에이전트를 분석한 결과, 지난해 3월 처음 발견됐을 당시 최소 8백여대의 컴퓨터가 감염됐으며, 1만6천여개의 페이스북 계정에 접속한 것으로 나타났다.

이 악성코드는 기기를 감염시킨 후, 훔친 정보를 사용해 페이스북 계정에 로그인한다. 그리고 징가 포커와 사용자의 각 페이스북 계정에 저장된 결제정보를 검색한다.

포커에이전트는 C#로 구현된 것으로 보이며, 디컴파일(decompile)이 용이한 것으로 알려졌다. 이는 웹에 있는 다운로더 컴포넌트를 사용해 기기로 다운로드되며, 사용자들은 사회공학적 공격을 통해 감염되는 것으로 파악됐다.

ESET는 지난해 발견된 시점부터 해당 봇넷을 추적하고 모니터링해 왔다고 밝히고, 현재 포커 에이전트는 아직 활발하게 확산되지는 않은 것으로 확인됐다고 덧붙였다.

그러나 여전히 이스라엘 사법당국과 CERT에 지속적인 보고가 이뤄지고 있으며, 현재 해당 악성코드에 대한 조사가 착수된 가운데 페이스북은 이를 통해 발생할 수 있는 위험을 방지하기 위해 필요한 조치를 취한 것으로 알려졌다.

이러한 사회공학적 공격이 사회적 이슈에 대한 사용자들의 관심을 악용하는 만큼 SNS에서 출처가 불분명한 링크 주소가 있을 경우 함부로 확인하지 않고, SNS 계정마다 아이디, 비밀번호를 달리 사용하는 것도 피해를 예방할 수 있다고 보안 전문가들은 권고하고 있다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>