금융사이트 접속 작동상황에서 해킹 시도, 금융기관도 파악 어려워

[보안뉴스 김경애] 정보보안기업 안랩(대표 김홍선, http://www.ahnlab.com/)은 2일(어제) 경찰청이 발표한 인터넷뱅킹 계정탈취 관련 악성코드(경찰청 보도자료 제목: 파밍, 피싱사이트 주의보)를 입수, 분석한 결과를 발표하고 관련기관 및 고객사에 전달했다고 3일 밝혔다.

이번에 파악된 악성코드는 보안모듈 메모리 해킹(수정)을 시도하는 악성코드로 결과적으로 금융기관의 아이디/비밀번호, 공인인증서 비밀번호, 보안카드 번호 등 실제 개인(금융)정보를 탈취하여 금전을 빼가기 위한 악성코드이다.

이번 악성코드는 사용자가 금융거래를 위해 금융기관 사이트 방문 시 보안을 위해 자동으로 구동되는 키보드 보안솔루션, 공인인증서 등 보안모듈의 메모리를 해킹(수정)하여 정상 작동과정에서 정보를 유출한다. 따라서 금융기관과 인터넷 뱅킹 사용자가 피해 전조를 명확하게 감지하기 어려워 피해 우려가 크다.

특히, 타깃으로 삼은 은행 등 해당 금융기관에 특화되어 악성코드가 제작된 최초의 시도로 사전 공격없이 악성코드만으로 공격목표를 달성했다(원스탑공격). 타겟 금융기관에 적용된 보안 제품(적용된 공인인증서와 키보드 보안 솔루션 등)과 인터넷 뱅킹의 보안 매카니즘(보안카드)을 동시에 직접 해킹한 사례는 최초이다. 왜냐하면 기존에는 사용자 관리 부주의나 기존 정보 유출에 따른 2차 피해가 대부분이었기 때문이다.

메모리 해킹(수정) 악성코드의 심각성

1. 보안모듈 메모리 해킹(수정/조작) 방식

해당 악성코드는 은행 사이트를 이용 시 자동으로 구동되는 보안 제품(모듈)이다. 이는 즉, 키보드 보안 솔루션, 공인인증서 등의 보안모듈의 메모리를 해킹(수정)하여 무력화하고, 악성코드가 원하는 동작(개인정보 유출)을 먼저 수행하도록 하는 것이다.

2. 타켓화된 공격

이번 공격은 타겟화된 공격으로 샘플을 사전에 작성하고, 타겟 금융기관 적용 중인 보안 제품을 노렸다. 각 악성코드들은 OO은행, OO 등 타겟으로 삼아 금융기관에 특화되어 제작되어 있다. 또한 타켓 금융기관에 적용된 키보드 보안솔수션, 공인인증서 등의 보안제품 들을 직접 공격한 것으로 조사됐다. 특히, 기존에는 공인인증서 사전 탈취, 보안카드 정보 사전 탈취 등 사전 작업 후 공격을 시도했으나 이번에는 악성코드만을 이용하여 원스탑(one-stop) 형태의 공격을 감행했다.

3. 금융기관이 해당 공격 파악 어려움

클라이언트 보안 제품(PC보안제품)에 대한 직접적인 해킹(수정공격)으로 정상적인 금융 사이트 접속 및 정상 보안 모듈 구동을 유지하면서 수행하는 공격시도라서 해당함으로 금융기관 서버에서는 감지할 수 없었다는 것이 안랩의 분석이다.

4. 인터넷 뱅킹 이용자 파악 불가

특정 공격 방식(타입B, 아래 설명 참조)의 경우, 사용자 입장에서 보안카드 번호 입력 시에 계속 에러가 나는 것 외에는 별다른 이상 징후를 파악하기 어려워 더욱 피해를 입을 수밖에 없었다는 것이다.

이와 관련 안랩은 “사실 확인과 관련해 이용자가 당일 인터넷 뱅킹으로는 피해사실을 알 수 없다”며 “이는 인터넷뱅킹 시 계속 에러가 나서 조회나 이체 등 거래가 불가능하기 때문”이라고 밝혔다. 또한, “피해자가 사전에 은행에 거래내역 SMS 전송 서비스를 신청하여 문자를 받은 경우나 당일 은행 방문 시 잔고확인이나 은행 ATM 이용 시에 확인 가능하기 때문에 뒤늦게 피해사실을 알게 될 가능성이 높다”고 덧붙였다.

메모리 해킹(수정)공격 시나리오

1. 사용자가 보안 취약 사이트 등 방문 시 해당 악성코드에 감염(악성코드 잠복)

2. 이후 (악성코드 감염PC)사용자가 금융 사이트를 방문하면 악성코드가 해당 사실을 감지

3. 악성코드는 사용자의 금융 사이트 방문 시 구동되는 보안모듈에 메모리 해킹 공격 감행으로 클라이언트 보안모듈(제품)은 키보드보안솔루션, 공인인증서 등 금융 사이트 구동 시에 사용자 보안을 위해 자동으로 구동되는 보안 솔루션이다. 악성코드는 평소에는 사용자의 일반 인터넷 이용 시에 반응을 안 하고 금융거래를 하기위한 은행서비스 이용 시에만 동작.

즉, 사용자가 금융기관 금융거래 서비스 이용시 자동으로 동작하는 보안 모듈이 구동되면, 악성코드가 이를 감지해 보안모듈 메모리 해킹(수정)을 수행했다. 특히, 보안 모듈 자체가 동작하지 않을 경우 금융기관에서 파악 할 수 있으므로 메모리 해킹(수정) 방식으로 보안모듈은 동작은 유지하되 무력화하고, 악성코드가 원하는 사용자 개인(금융)정보 유출 등의 행위를 먼저 수행하도록 조치한다.

4. 금융기관 아이디/비밀번호, 보안카드 번호, 공인인증서 비밀번호 등 개인(금융)정보 탈취

5. 일정 시간 후 공격자는 탈취한 금융정보로 금전 인출 시도 - 탈취한 보안카드 번호(사용자가 입력했으나 악성코드가 가로채고 에러 처리했던 보안 카드번호는 공격자의 에러처리로 은행에 전달되지 않았으므로 그대로 사용이 가능하다(B타입 공격방식).

현재 안랩이 분석한 악성코드 종류는 현재 금융기관에 사용된 악성코드의 유형이 다르게 나타나고 있다고 진단하며 악성코드를 A, B 2가지 타입으로 나눴다.

타입 A.

이 악성코드는 먼저 금융 사이트 접속 시 사용자 PC에 설치되는 보안 모듈(제품)의

메모리를 해킹(수정)해 해당 보안 모듈의 기능을 무력화함. 이후, 별도 제작한 ‘보안강화 설정’이라는 새로운 대화창을 띄워 금융정보 탈취를 시도. 대화창은 통장 비밀번호, 이체 비밀번호, 보안카드 번호를 입력하도록 유도. 1번~35번까지 모든 보안카드 번호를 입력할 때까지 에러 메시지를 반복하며 35개 보안카드 번호를 확인할 때 까지 계속 시도하는 경우로 추정된다. 이전 방식인 보안카드의 모든 번호를 한번에 입력하도록 하는 방식에서 발전하여 지속적인 에러처리로 보안카드 비밀번호 전체를 파악하는 방법으로 보인다.

그러나 이 방법은 사용자가 수차례 입력하는 과정 중에 이상 징후를 느낄 수 있어 피해자가 다소 적을 것으로 판단된다. 다만, 성공할 경우 공격자가 보안카드 전체를 가지고 있는 셈이 되어 사용자가 확인하지 않는 한 수차례 금전 피해를 입을 수 있다.

타입 B.

이 악성코드는 보안 모듈(제품)의 메모리를 해킹(수정)하는 방식은 동일하다. 이 악성코드는 보안카드 번호 입력 시에 이를 가로채는 방식으로 공격자는 사용자가 보안카드 번호를 입력하면 이를 가로채고 오류 창이 뜨도록 조치. 이 방식은 A타입보다 알아내기 어려워 피해확산이 우려된다.

이와 관련 안랩 양하영 선임 연구원은 “분석결과, 현재 확인한 악성코드 형태 외에 200여개의 변종이 있을 것으로 추정하고 있다. 앞으로도 변종 악성코드 분석을 통해 지속적으로 대응해 나갈 예정”이라고 말했다.

이를 위한 진단/치료는 인터넷 뱅킹 사용 전에 V3 최신 업데이트를 필수로 하고 V3 개인/기업용에서 모두 진단 및 치료 가능하다고 밝혔다.

안랩 김홍선 대표는 “게임 보안 모듈 공격에 악용되었던 메모리 해킹(수정) 방식이 금융사 보안모듈 해킹에 적용된 첫 사례이며 사용자와 금융기관의 사전 감지가 어려워 피해확산이 우려된다”며 “무엇보다 인터넷 뱅킹으로 금전 거래 시 반드시 관련 진단/치료 기능이 탑재된 백신 프로그램으로 사전 검사 후 이용해야 한다”고 말했다. 덧붙여 그는 “사용자들은 경찰청에서 제시한 예방수칙을 반드시 참고할 것”을 당부했다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>